第四节-扫描报告分析

第四节-扫描报告分析

AWVS报告类型

Standard Reports：标准报告

Affected Items：受影响项目

Comprehensive (new)：综合（新）

Developer：开发者

Executive Summary：执行摘要

Quick：快速报告

Compliance Reports：合规报告

CWE / SANS Top 25：SANS (SysAdmin, Audit, Network, Security) 研究所是美国一家信息安全培训与认证机构

DISA STIG：DISA STIG 是指提供技术指南（STIG — 安全技术实施指南）的组织（DISA — 国防信息系统局）

HIPAA：HIPAA标准

ISO 27001：国际标准

NIST SP 800-53：联邦信息系统标准

OWASP Top 10 2013：开放式Web应用程序安全项目 2013标准

OWASP Top 10 2017：开放式Web应用程序安全项目 2017标准

PCI DSS 3.2：即支付卡行业数据安全标准

Sarbanes Oxley：萨班斯法案标准

WASC Threat Classification：WASC 组织标准

最常用的报告类型：

1.Executive Summary：执行摘要 给公司大领导看，只关注整体情况，不关注具体细节

2.Comprehensive (new)：综合（新）：一般给QA和产品经理看

3.Developer：开发者：给开发人员看

4.OWASP Top 10 2017 行业报告的代表

5.WASC Threat Classification 行业报告的代表