您的组织名称:
北京ANPRO信息技术有限公司 网站:
https://www.xmirror.cn/
兼容功能:
XMAZE AI笔测试扩展 功能主页:
https://www.xmirror.cn/
一般能力问题 产品可访问性
简要说明如何以及在何处将您的能力提供给客户和公众(必需的):
Xmaze AI渗透测试扩展(“ Xmaze PTE”),作为Xmirror Security的DevSecops智能威胁管理系统中CI/CD管道的威胁检测和开发平台,赋予传统IT从业人员的全景流量分析技术,例如启发式Crawler,Crawler,Crawler,Crawler,Crawler,端点流量代理/VPN,流量管理器(主机交通嗅探,旁路流量镜像)和原始AI渗透启发的技术以智能安排渗透策略,并根据AI决策引擎自由选择攻击路径。可以支持外部网络,内部网络和本地攻击。在渗透后阶段,该平台可以基于特征词典进行数据搜索,并收集支持数据以进一步渗透。该平台不仅可以针对系统安全应用程序漏洞进行全面的安全测试,还可以针对系统业务逻辑漏洞,并发布专业的安全维修建议,并为用户提供多格式,专业和合规的渗透测试报告。
映射问题 地图货币指示
描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(必需的):
使用和引用的CWE标准在用户手册中给出。用户手册中有关于CWE的一章,其中描述了Xmaze BAS规则检测解决的弱点,并声明了引用的CWE版本。
地图货币更新方法
表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(受到推崇的):
离线更新根据风险级别更改更新频率:通常,漏洞数据库每2周更新一次,并且映射关系同时更新;如果发现高风险,则应在3小时内及时更新漏洞数据库,并应同时更新映射关系。
地图货币更新时间
描述您向客户解释的时间和地点,他们应该期望您能力映射的更新反映新近可用的CWE内容(必需的):
离线更新根据风险级别更改更新频率:通常,漏洞数据库每2周更新一次;如果发现高风险,则应在3小时内及时更新漏洞数据库。每次更新漏洞数据库时,都会更新映射。
文档问题 CWE和兼容性文档
提供您的文档描述CWE和CWE兼容性的副本或指示的位置(必需的):
CWE和CWE兼容性的描述可以在第6章常见的弱点枚举 - 用户手册的CWE中找到,请参见屏幕截图。该用户手册可用于许可用户,可以直接从工具GUI访问。
使用CWE标识符查找元素的文档
提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):
分析后,用户单击[威胁检测 - 智能渗透性 - 渗视性管理]并搜索相应的CWE号码,并显示了映射到CWE号码的漏洞信息。单击漏洞名称的超链接以查看详细信息。
使用元素查找CWE标识符的文档
提供您的文档描述用户将遵循的过程的副本或指示,以查找与您功能存储库中个人安全元素相关的CWE标识符(必需的):
用户手册显示了测试每次执行后,该工具发现的安全漏洞和相关的CWE符号,如图所示:
与CWE相关材料的文档索引
如果您的文档包括索引,请提供您在索引中“ CWE”下列出的项目和资源的副本。或者,提供指示这些“ CWE”项目在您的网站上发布的位置(受到推崇的):
Xmaze BAS平台的漏洞知识基础列表功能模块显示CWE标识符,并且可以在相应的数据中查看相关漏洞的CWE数。
特定于类型的功能问题
工具问题 使用CWE标识符查找任务
给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的):
Xmaze BAS完成威胁检测任务后,单击任务详细信息以查看映射到漏洞列表中漏洞的CWE标识符,如图所示:
使用报告中的元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
在[漏洞列表 - 漏洞名称 - 漏洞详细信息]漏洞详细信息GUI页面上,您可以检查漏洞的特定位置和关联的CWE标识符信息:
漏洞清单:
脆弱性详细信息:
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的):
在[漏洞知识库]页面上,单击输入框并输入“ CWE”以查看GUI接口上的CWE标识覆盖范围列表:
媒体问题 电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息,并描述如何搜索它们与CWE相关的特定文本(必需的):
电子文档以Word和PDF格式提供。全文搜索功能可在普通单词的观众和PDF查看器中获得,并且可以在生成的报告中检索与CWE相关的文本信息。
CWE标识符的电子文档列表
如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档,以说明如何为每个单独的安全元素列出相关的CWE标识符(必需的):
在电子文档的漏洞列表表中,描述了与安全元素相关的CWE标识符:
图形用户界面(GUI)问题 通过GUI 使用CWE标识符查找元素
给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(必需的):
单击[漏洞知识库]页面上的输入框以搜索相应的CWE标识符,您可以在GUI接口中找到CWE标识符的详细信息:
GUI元素到CWE标识符映射
简要描述如何为单个安全元素列出相关的CWE标识符,或讨论用户如何使用CWE标识符和功能元素之间的映射,还描述了映射的格式(必需的):
请参阅答案<CR_A.2.2>。
签名问题 兼容性
拥有授权的个人标志和日期以下兼容性声明(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:张陶
标题:首席执行官
准确性
拥有授权的个人标志和日期,以下准确性声明(受到推崇的):
“作为我组织的授权代表,据我所知,我们功能存储库与CWE标识符之间的映射没有错误,我们的功能报告和这些CWE标识符在可用的CWE存储库中尽可能具体。“
名称:张陶
标题:首席执行官
关于falsepitions和false-sengatives 和/或的声明
仅对于工具和服务 - 拥有授权的个人标志和日期,以下有关您的工具效率的说明,以识别安全元素(必需的):
“作为我组织的授权代表,据我所知,通常在我们的能力报告特定的安全元素时,通常是正确的,通常是当发生与特定安全元素相关的事件时,我们的能力通常将其报告。“
名称:张陶
标题:首席执行官
|
普遍的弱点
播客
中等的
万博下载包新闻档案
