Problèmes connus et solutions

Vous trouverez ci-après les problèmes connus et les solutions palliatives.

Tableau 1. Problèmes connus et solutions
Problème Solution palliative
Sur l'exportation des stratégies de test de sécurité à partir de la page Administration d'AppScan Enterprise, le fichier .policy ne comprend pas les détails du test. Installez AppScan Standard et exportez le fichier .policy pour la stratégie de test de sécurité souhaitée.
Lorsque la langue de l'interface utilisateur d'AppScan Enterprise est définie sur une autre langue que l'anglais, les problèmes suivants peuvent être observés :
  • Dans l'onglet Examen, le menu Comment résoudre le problème s'affiche en anglais.
  • Dans le rapport généré à partir de l'onglet Examen, le nom de l'en-tête est imprimé en tant que Conseils et recommandations de correction au lieu du nouveau nom d'en-tête Comment résoudre le problème.
  • Dans la page Surveillance ou Examen, le libellé de case à cocher que vous devez sélectionner pour générer le rapport de sécurité s'affiche en tant que Conseils et recommandations de correction au lieu du nouveau nom Comment résoudre le problème.
  • Lorsque la langue de l'interface utilisateur est définie sur Espanola (espagnol), le lien de l'API de référence et le contenu du rapport Comment résoudre le problème sont imprimés en anglais.
  • Dans le rapport de sécurité généré au format *.PDF à partir de l'onglet Examen, les en-têtes Risque et Références externes sont imprimés en anglais.

  • Dans la page Surveillance d'une application testée qui présente des vulnérabilités de sécurité, lorsque vous cliquez sur le numéro du problème, le lien Comment résoudre le problème s'affiche en anglais.

  • Lorsque vous sélectionnez une langue différente et exportez des problèmes à partir de l'onglet Surveillance, le nom IssueType s'affiche en anglais.
  • Lors du passage à une autre langue, l'onglet Comment corriger (contenu de langage de programmation différent) dans l'onglet Examens s'affiche dans la langue précédente.
 Toute modification des paramètres de langue n'a aucune incidence sur la fonctionnalité de l'interface utilisateur, sauf que ces informations seront disponibles en anglais. Par conséquent, il est recommandé de continuer à utiliser la fonctionnalité jusqu'à ce que ces problèmes soient résolus dans les éditions suivantes.
La dernière étape du texte de l'instruction est tronquée et n'est pas visible lorsque vous choisissez le type d'agent Node.js dans la page IAST ouverte dans le navigateur Google Chrome ou Mozilla Firefox avec son pourcentage de zoom d'affichage de page fixé à 100 %. Il est recommandé d'ouvrir la page IAST dans Internet Explorer pour éviter ce type de problème. Vous pouvez aussi, dans le navigateur où vous visualisez la page IAST, ajuster le pourcentage de zoom avant jusqu'à ce que le texte tronqué de l'instruction soit visible.
Lors d'une mise à niveau vers la version 10.0.5, le port du service Conseil n'est pas conservé si le port qui n'était précédemment pas le port par défaut a été défini. Lors de la mise à niveau vers la version 10.0.5, le port est changé en port par défaut, c'est-à-dire 9444. Vous devez donc le modifier manuellement.
Lorsqu'AppScan Enterprise est configuré avec le serveur de licences local et dispose de licences IAST et lors de la création d'un agent IAST, si le message d'erreur suivant s'affiche CRWAS2308E Le contrôle de licence a échoué pour l'agent IAST que vous créez. Vérifiez si le service IAST est en cours d'exécution et si le serveur de licences est configuré correctement. CRWAS2308E. Lancez les services Windows et redémarrez le service de communication IAST.
Lorsqu'un utilisateur a configuré un port déjà utilisé pour « Comment corriger », l'utilisateur ne verra pas le message d'erreur approprié dans l'interface utilisateur lorsqu'il tentera d'accéder aux détails du problème et au lien « Comment corriger ». Réexécutez l'assistant de configuration en choisissant un port différent pour « Comment corriger ».
Lorsqu'un utilisateur charge un fichier de tests définis par l'utilisateur dans l'interface utilisateur d'ASE, un message d'erreur s'affiche : Erreur lors de la connexion au serveur du service de conseil. Le fichier UDT sera importé avec succès dans AppScan Enterprise, mais l'utilisateur ne verra pas les informations « Comment corriger » des issueTypeIds de l'UDT dans l'interface utilisateur ni dans les rapports.
Pour afficher les informations xml « Comment corriger » pour les issueTypeIds de l'UDT, procédez comme suit :
  1. Accédez au chemin du dossier <ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives, puis extrayez le fichier zip UDT IssueTypeName correspondant (Exemple : UserDefined_UDT1.zip).
  2. L'utilisateur peut afficher les informations xml Comment corriger/Recommandation (exemple :UserDefined_UDT1.xml) dans le chemin du dossier <ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives\Advisories\en-US.
Entrées en double ajoutées dans le fichier de configuration lors de la mise à niveau vers la version 10.0.4 dans certains cas Pour plus d'informations sur la résolution de ce problème, reportez-vous à la note technique, https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0090236.
Lors de la mise à jour des règles de sécurité par l’assistant de configuration dans l’application AppScan Enterprise, un message d’erreur peut s’afficher, indiquant Une erreur s’est produite lors de l’extraction du contenu de la mise à jour des règles de sécurité. Pour en savoir davantage, consultez le fichier journal. Contactez le support HCL. Vous devez exécuter l’assistant de configuration à l’aide du même compte de service de l’utilisateur que vous avez utilisé pour configurer l'instance AppScan Enterprise.
Lorsque vous modifiez un dossier à partir de la page Examen sans modifier les autorisations du dossier et que vous cliquez sur le bouton Enregistrer, il effectue une entrée dans la table ActivityLog avec l’action marquée comme 3. L’action 3 indique que le dossier est modifié. Vous devez cliquer sur le bouton Annuler pour quitter la page si vous n’avez pas modifié les autorisations de dossier.
Le nom de domaine n'exclut pas le fichier de trafic généré par l'outil Postman ou SoupUI via l'intégration du client ADAC (fichier au format .exd) à l'aide de l'API POST/jobs/{jobId}/dastconfig/updatetraffic/{action}. Vous devez utiliser le fichier .dast, .config ou .har pour exclure le trafic d'un domaine du fichier de trafic.
Le travail d'examen ne parvient pas à modifier les droits utilisateur du compte de service AppScan Enterprise sous Windows. Vous devez ajouter l'utilisateur du compte de service au groupe d'administrateurs Windows sur les machines AppScan Enterprise Server et Scanner.
L'enregistrement de la licence d'examen HCL n'a pas lieu immédiatement lorsque le processus de service de l'agent AppScan est arrêté via le gestionnaire de tâches. Les licences peuvent être libérées après 15 minutes environ. Il est recommandé de redémarrer et d'arrêter à nouveau l'agent via les services pour libérer les licences.
Si les utilisateurs ne sont pas déconnectés avant l'arrêt d'AppScan Enterprise Server, les sessions ouvertes peuvent empêcher que les licences soient à nouveau insérées dans le pool. Les licences restantes ne seront réinsérées qu'après deux heures. Les utilisateurs doivent se déconnecter avant l'arrêt d'AppScan Enterprise Server.
Un message d'erreur s'affiche lors de la mise à niveau de la version 9.0.3.12 vers la version 10.0.3. Lorsque vous mettez à niveau AppScan Enterprise de la version 9.0.3.12 vers la version 10.0.3, si le message d'erreur Echec de l'inscription du WFWEO.dll s'affiche, vous devez désinstaller la version 10.0.3 (même si le même problème peut survenir pendant la désinstallation). Après la désinstallation, vous devez réinstaller AppScan Enterprise version 10.0.3 en le liant à la base de données existante.
Lors de l'installation d'AppScan Enterprise, l'installation de Visual C++ 2015 échoue si une version supérieure de Microsoft Visual C++ Redistributable 2017 est déjà installée dans le système, car l'application tente d'installer Visual C++ 2015 Redistributable sans vérifier si des versions plus récentes existent déjà dans le système. Désinstallez Visual C++ 2017 RC Redistributable, installez AppScan Enterprise et réinstallez Visual C++ 2017 Redistributable.
En essayant d'effectuer un QuickScan, le navigateur de l'outil d'exploration manuelle ne lance pas l'application ou le navigateur se fige partiellement. Enregistrez manuellement le trafic via l'outil d'exploration manuelle ou l'enregistreur d'activité, mettez à jour le trafic et exécutez QuickScan.
Le Knowledge Center (KC) intègre toutes les mises à jour. L'aide en ligne produit ne sera toutefois pas mise à jour dans cette édition. NA
Si la taille du fichier journal étendu est importante (supérieure à 2 Go), il peut arriver que l'opération de téléchargement du fichier fasse apparaître un fichier ZIP de 0 ko dans le rapport récapitulatif de l'onglet Examen. Dans ce cas, copiez le fichier depuis le répertoire des journaux sur le serveur de l'agent AppScan Enterprise.
Suppression d'OWASP 2013 et aide pour le rapport OWASP 2017 : Tous les groupes de rapports et modèles de groupes de rapports créés avant la version 9.0.3.9 bénéficieront de rapports OWASP 2013. Si nécessaire, l'utilisateur devra supprimer manuellement le groupe de rapports OWASP 2013 et ajouter le nouveau rapport OWASP 2017.
Lorsque vous éditez un examen dans le client de configuration Dynamic Analysis, assurez-vous que l'examen choisi n'est pas en cours d'exécution dans AppScan Enterprise car celui-ci pourrait interrompre le travail lors de la mise à jour. Sur la page Propriétés du travail du client, désactivez la case à cocher Exécuter le travail dès que possible, puis cliquez sur Mettre à jour le travail.
Accès optimal aux fonctionnalités Dojo. Utilisez Microsoft Silverlight avec Internet Explorer 8.0 pour tirer pleinement parti des fonctionnalités de Dojo.
Lorsqu'un travail d'examen ne possède qu'une connexion enregistrée (pas d'exploration manuelle ni d'adresse URL de départ), l'examen ne balaye pas les données sous cette page. Ajoutez au moins une adresse URL de départ pour l'exploration manuelle ou l'adresse URL de départ de la page Objet de l'examen.
Si vous mettez à niveau une base de données depuis une version antérieure à la version 8.8, puis cliquez sur un travail existant, le journal d'examen est vide. Exécutez à nouveau vos travaux pour générer un nouveau journal d'examen.
Lorsque vous éditez la page Editer un modèle de profil d'application dans IE 8/9, les modifications ne sont pas sauvegardées. Quittez la zone que vous éditez et revenez à la page en cours, puis enregistrez les modifications. Vous pouvez également mettre à jour votre navigateur à la version Internet Explorer 11 ou FireFox 24.
JavaScript Analyzer (JSA) est désactivé par défaut pour les examens, y compris les examens mis à niveau. Activez JSA dans la page de sécurité de votre travail d'examen de contenu.
Il existe un risque de dégradation des performances et de faux négatifs dans les résultats lorsque le pare-feu sépare les agents et le site Web examiné. Le serveur AppScan Enterprise envoie en effet des tests de sécurité susceptibles d'être interprétés comme une activité réseau suspecte par certains pare-feux.
Si les règles de normalisation définies par l'utilisateur pointent sur une adresse URL vide, l'examen risque de ne pas se terminer. Lorsque des règles de normalisation sont définies dans les propriétés d'un travail, il est important de vérifier qu'elles pointent sur une adresse URL valide.
Si vous avez activé la gestion des problèmes pour les rapports, le rapport Récapitulatif du groupe de rapports ne sera pas synchronisé avec les données de rapport. Vous devez réexécuter le groupe de rapports pour synchroniser les nombres à la fin des tâches de gestion des problèmes.
Les rapports supprimés ne disparaissent pas immédiatement du tableau de bord. Vous devez réexécuter le tableau de bord pour que le changement prenne effet.
Des problèmes de connectivité et/ou une dégradation des performances peuvent se produire lors de l'utilisation de la fonctionnalité d'exploration manuelle dans Internet Explorer. Lors de l'utilisation de la fonctionnalité d'exploration manuelle dans Internet Explorer, il est conseillé d'activer l'option Internet/Avancé pour Utiliser HTTP 1.1 avec une connexion par proxy. Dans le cas contraire, des problèmes de connectivité et/ou de dégradation des performances peuvent se produire.
Lors du tri des listes, il se peut que l'ordre de classement ne soit pas celui prévu pour les langues suivantes : le danois, le japonais et le chinois. .NET et SQL sont utilisés, ainsi que les classements propres à l'environnement local, mais le produit n'est pas conforme au projet ICU (International Components for Unicode).

L'exécution de l'assistance de configuration d'ASE 9.0.3.12 (après les étapes de mise à niveau des règles de sécurité) donne le message d'erreur ci-dessous :

Impossible de démarrer le serveur Liberty. Détails : TRAS0038E : Le système n'a pas pu supprimer le fichier \IBM\AppScan Enterprise\Liberty\usr\servers\ase\logs\trace.log

 Ce message d'erreur apparaît uniquement lorsqu'ASE est mis à niveau de la version 9.0.3.x à la version 9.0.3.12 avec le journal de trace Liberty activé (c.-à-d. l'activation du journal de débogage depuis l'interface utilisateur de l'onglet d'administration).

Solution

  • Avant de mettre à niveau vers la version 9.0.3.12, vérifiez dans l'interface utilisateur de la version d'ASE existante (Onglet Administration > Paramètres généraux > Paramètres de journal > Editer) si la journalisation est activée. Si oui, désactivez le journal dans l'onglet d'administration.
  • Accédez à l'emplacement - "répertoire d'installation d'ASE"\HCL\AppScan Enterprise\Liberty\usr\servers\ase\logs\?
  • Dans le répertoire ci-dessus, supprimez tous les fichiers journaux qui commencent par trace.
  • Effectuez la mise à niveau d'ASE. Vous ne devriez plus rencontrer ce problème.
  • Si vous rencontrez ce problème lors de l'exécution de l'assistant de configuration, fermez l'assistant de configuration.
    • Accécez à - "répertoire d'installation d'ASE"\HCL\AppScan Enterprise\Liberty\usr\servers\ase\logs\
    • Dans le répertoire ci-dessus, supprimez tous les fichiers journaux qui commencent par "trace".
    • Exécutez l'assistant de configuration depuis le début. Cela devrait résoudre le problème.

L'interruption totale du travail ADAC ne fonctionne pas pour les travaux créés avec des versions antérieures à la version 9.0.3.11, sauf si une sauvegarde d'édition est effectuée sur le travail.

Cause principale : L'application rencontrait un problème pour lequel l'URL de départ n'était pas mise à jour dans une base de données ASE pour un travail ADAC. Comme l'interruption totale lit le domaine à partir de la base de données ASE, l'interruption totale ne fonctionnait pas pour les travaux ADAC. Comme l'URL de départ est stockée dans le fichier dast.config, les travaux existants devaient être édités et enregistrés manuellement pour que l'URL soit stockée dans la base de données ASE.
  1. Editez un travail ADAC (créé avant la version 9.0.3.11).
  2. Mettez le travail à niveau.
  3. L'interruption totale devrait fonctionner comme elle a été configurée (comme le travail d'examen de contenu).
La recherche à l'aide de StartingURL pour la commande API REST get /jobs/search api fonctionne uniquement pour les travaux d'examen créés dans la version 9.0.3.11 et versions ultérieures. NA