Nouveautés d'HCL AppScan® Enterprise

Nouvelles fonctions et améliorations d'AppScan® Enterprise.

Avis important

La prise en charge des licences IBM dans les nouvelles versions de HCL AppScan Enterprise prendra fin au troisième trimestre (août/septembre) 2020. A partir de cette date, les nouvelles versions prendront uniquement en charge les licences HCL. Pour obtenir des instructions sur l'obtention et l'installation d'une licence HCL, reportez-vous à la documentation du produit. Pour en savoir davantage, contactez votre représentant HCL ou le support technique.

Nouveautés d'HCL AppScan® Enterprise 10.0.1

Cette section décrit les nouvelles fonctionnalités et améliorations du produit dans cette version, ainsi que les fonctions obsolètes et les prévisions de modification (le cas échéant).

Exploration basée sur les actions

Précision et couverture améliorées pour l'exploration basée sur les actions automatiques.

Améliorations des tests
  • Détection de page d'erreur améliorée pour des résultats plus précis.
  • Nouvelle variante pour CVE-2018-7600 : Exécution de commandes à distance sur DRUPAL : Utilise désormais la fonction AppScan DNS.
  • Nouveau test pour CVE-2018-9206 : FileUpload sans restriction à l'aide de Blueimp jQuery-File-Upload.
  • Nouvelle variante pour SSRF : Dotless Hex IP.
  • Recherches de répertoire : Ajout de 50 nouvelles règles de recherches de répertoire.
  • Opérations en plusieurs étapes : Une fois configurée, la validation des étapes suivantes de la séquence, lors du test d'une étape spécifique, inclut désormais l'injection SQL, l'injection de commandes et le survol de chemin (en plus des scripts intersites). Voir Opérations en plusieurs étapes : Validation.

Consolidation des problèmes

Consolidation de certains problèmes fréquents, pour produire un ensemble de résultats plus compact. Par exemple, les problèmes partageant une source unique (telle qu'une configuration de serveur) qui se produisent au niveau de plusieurs emplacements dans l'application. La consolidation réduit le nombre total de problèmes, mais sans perdre les détails.

Remarque : Cela peut entraîner un nouvel examen d'un site inchangé montrant moins de problèmes que lors d'une analyse précédente (mais peut répertorier plus de variantes de ces problèmes).

Rapports de conformité

Prend en charge le dernier rapport standard DISA V4R10.

Arborescence de l'application

Vous pouvez à présent voir l'arborescence de l'application en cliquant sur le lien Vue dans Statistiques d'examen > Pages trouvées.

Version du moteur

La version du moteur DAST est désormais affichée dans la console AppScan Enterprise. Elle remplace la version des règles de sécurité.

Améliorations de la génération de rapports

Pour les rapports XML générés à l'aide de l'API REST, les données de trafic requête-réponse sont tronquées par défaut. Une nouvelle fonction <href> l'attribut a été ajouté sous les éléments <test-http-traffic> et <original-http-traffic>, qui contiennent un lien vers les données de trafic requête-réponse complètes pour la variante spécifique.

Améliorations de l'API REST
  • API : GET jobs/search et GET /folders/{folderid}/folderitems fournissent désormais des informations sur la disponibilité des données liées à l'examen, telles que les fichiers journaux et d'examen.
  • API : GET /services/variants/{variantid} est ajouté pour renvoyer des données de trafic requête-réponse pour une variante.

Suppression prévue dans une version future

Les options suivantes seront supprimées dans une version future :

  • GSC (Generic Service Client)
  • Catégorisation X-Force dans Conseils et Détails du problème
  • Serveur HCL AppScan Enterprise sur système d'exploitation Windows 32 bits
  • Plug-in HCL AppScan Enterprise pour navigateur IE
  • Manual Explorer