Nouveautés d'HCL AppScan® Enterprise
Nouveautés d'HCL AppScan® Enterprise 10.0.7
- Prise en charge de l'examen de l'application cible configurée pour TLS 1.3
- AMF : Prise en charge des mots de passe à usage unique et à durée limitée et des mots de passe à usage unique générés par URL (voir Configurer le mot de passe à usage unique)
- Nouveaux rapports sur les normes de l'industrie :
- "CWE/SANS Top 25 Most Dangerous Errors" est remplacé par "CWE Top 25 Most Dangerous Software Weaknesses 2021"
- OWASP TOP 10 - 2021
- Améliorations IAST - Informations sur le problème :
- Nouvelle section "Informations supplémentaires"
- Exemple d'exploitation inclus pour de nombreux autres problèmes
Correctifs et mises à jour de sécurité
Les nouvelles règles de sécurité de cette version sont les suivantes :-
attApacheHttpPathTraversalUnix - Vulnérabilité à la traversée de chemin dans Apache HTTP Server (CVE-2021-41773)
-
attZencartRemoteCommandExecutionAdns - Exécution de code à distance authentifié sur ZenCart (CVE-2021-3291)
-
attApacheHttpPathTraversalUnix - Traversée de chemin Apache HTTP Server et exécution de code à distance (CVE-2021-42013)
-
attAPIBrokenFunctionLevelAuthorization - Règle de sécurité de l'API pour Violation de l'autorisation au niveau de la fonction (Vérifier avec la requête d’origine avec d'autres méthodes HTTP)
-
attConfluenceRemoteCommandExecutionAdns - Injection OGNL Webwork Server (CVE-2021-26084) à l'aide d'ADNS
- attAPIMassAssignment - Règle de sécurité de l'API pour Attribution de masse (requête avec paramètres/objets admin et obtention de l'accès)
- attAPILackResourcesRateLimit - Règle de sécurité de l'API pour le manque de ressources et la limitation de débit (définir des valeurs plus importantes pour les paramètres de requête, ce qui surcharge le serveur)
- attCSRFinGraphQL - Détecter la vulnérabilité CSRF dans les points de terminaison GraphQL
- attCSPInjection - Détecter si le site Web est vulnérable face à l'injection de stratégie CSP
- attAPIImproperAssetsManagement - Règle de sécurité de l’API pour Mauvaise gestion des actifs (requête pour les chemins non exposés)
- attAPIImproperAssetsManagementDomain - Règle de sécurité de l’API pour Mauvaise gestion des actifs (requête pour les domaines non exposés)
- attbootstrapXSS - Détection de règle Bootstrap obsolète
La liste complète des correctifs, des mises à jour et des RFE de cette édition est répertoriée ici.
Modifications à venir
Les options suivantes seront supprimées dans une version future :
- Les stratégies de test Web Services, The Vital Few et Developer Essentials seront supprimées, car des résultats similaires peuvent maintenant être obtenus à l'aide d'autres stratégies. Pour plus d'informations, voir Stratégies de test prédéfines.
- La prise en charge du navigateur Internet Explorer (IE) va être supprimée.