Burp Suite との統合により、Burp スキャンレポートをインポートし、Burp Suite スキャナの検出結果を WAS の検出結果とともに格納し、この情報を複数のユーザで共有できます。Burp レポートをインポートすると、Burp の検出結果を WAS で管理できます。各レポートは、1 つの Web アプリケーションのみの検出結果を含む 20MB 以下の XML ファイルにする必要があります。
* Express Lite ユーザの場合、「Burp 管理」は使用できません。
Burp が検出した問題を WAS に容易にインポートするために、Qualys WAS Burp エクステンションの使用をお勧めします。詳細
「検出」->「Burp」->「インポート」を選択します。ローカルファイルシステムから XML 形式の Burp ファイルを選択し、Burp レポートの対象となっている Web アプリケーションを選択します。20MB 以下で、1 つの Web アプリケーション用の検出結果を含むレポートをインポートできます。1.7.24 以下のバージョンの Burp ファイルを正常にインポートできます。「インポート」をクリックします(複数の Burp インスタンスから検出結果をインポートする際に、結果の重複を避けるには、パージオプションを使用することをお勧めします)。
パージオプションは、レポートをインポートする前に、選択した Web アプリケーションの既存の Burp の問題を削除します。1 つ以上の Burp インスタンスからインポートした場合、パージオプションを使用すると、重複した検出結果のインポートを防ぐことができます。
クローズオプションは、レポートに存在しない、Web アプリケーションの既存の Burp の問題をクローズします。パージではなくクローズを選択した場合、クローズされた問題は解決済みとマークされます。
レポートの行内の任意の場所をクリックすると、レポートリストの下にプレビューパネルが表示されます。レポートプレビューには、インポートされた XML ファイルの名前、レポートに関連付けられている Web アプリケーションの名前、割り当てられたタグ(存在する場合)、レポートされた問題の数、サポートサイズが表示されます。レポートについてのアクションを実行するには、「アクション」メニューをクリックします。レポートをダウンロードするには、「ダウンロード」をクリックします。
Burp レポートを使用してインポートした問題が検出リストに表示されます。「検出」->「検出リスト」を選択します。検索フィルタの「検出タイプ」で「Burp」を選択すると、検出日、状態、重大度など、問題の詳細を参照できます。
当社のサービスは、Web アプリケーションに対する既存のインポート済みの問題に対して Burp の問題のシリアル番号を確認します。以前にインポートしたことのない問題であった場合、状態は「新規」に設定されます。それ以外の場合は、「アクティブ」または「再オープン」(問題が以前にインポートされており、修正済みの場合)に設定されます。状態は、Burp の単一のインスタンスが使用されている場合にのみ正確です。これは、問題のシリアル番号が Burp の各インスタンスで固有であるためです。
WAS で、Burp 重大度と Burp 信頼レベルの 2 つの要素に基づいて、Burp 問題に重大度が割り当てられます。
Burp の問題の詳細を表示するには、「クイックアクション」メニューから「表示」を選択します。必要に応じて、問題を無視することもできます。
問題にマウスポインタを合わせ、「クイックアクション」メニューから「無視」を選択するか、問題をダブルクリックして詳細を表示し、詳細ウィンドウの右上隅の「無視」リンクをクリックします。問題を無視する場合は、理由(誤検出、許容可能なリスク、該当なし)を指定するように要求されます。リスト内で状態ラベルがグレー表示され、問題を無視する理由が問題の詳細ページのメッセージに表示されます。
「アクティブ化」アクションは「無視」アクションの反対です。状態はリスト内でグレー表示されず、脆弱性は Web アプリケーションのレポートで表示されるようになります。
問題リストで行をクリックすると、リストの下にプレビューパネルが表示されます。プレビューには、問題の重大度のレベル、問題が検出された URL、Web アプリケーション名、脆弱性グループと状態、Burp シリアル番号、信頼性と場所、最初と最後に検出された日付、問題が検出された回数が表示されます。
場合によっては、アカウントマネージャにパーミッションを要求する必要があります。
Express Lite ユーザの場合、「Burp 管理」は使用できません。
Web アプリケーションの作成または編集時に、Burp ログファイルをアップロードできます。ファイルをアップロードすると、そのファイルが解析されてリクエストが作成され、Web アプリケーションの巡回が実行されます。アップロードした Burp ファイルはいつでもダウンロードして確認できます。
同時期にアップロードできる Burp ファイルの数は 1 つのみです。別のファイルをアップロードすると、今までのファイルが新しいファイルに置き換わります。
