Nouveautés d'HCL AppScan® Enterprise

Nouveautés d'HCL AppScan® Enterprise 10.0.7

Cette section décrit les nouvelles fonctionnalités et améliorations du produit dans cette version, ainsi que les fonctions obsolètes et les prévisions de modification (le cas échéant).
  • Prise en charge de l'examen de l'application cible configurée pour TLS 1.3
  • AMF : Prise en charge des mots de passe à usage unique et à durée limitée et des mots de passe à usage unique générés par URL (voir Configurer le mot de passe à usage unique)
  • Nouveaux rapports sur les normes de l'industrie :
    • "CWE/SANS Top 25 Most Dangerous Errors" est remplacé par "CWE Top 25 Most Dangerous Software Weaknesses 2021"
    • OWASP TOP 10 - 2021
  • Améliorations IAST - Informations sur le problème :
    • Nouvelle section "Informations supplémentaires"
    • Exemple d'exploitation inclus pour de nombreux autres problèmes

Correctifs et mises à jour de sécurité

Les nouvelles règles de sécurité de cette version sont les suivantes :
  • attApacheHttpPathTraversalUnix - Vulnérabilité à la traversée de chemin dans Apache HTTP Server (CVE-2021-41773)

  • attZencartRemoteCommandExecutionAdns - Exécution de code à distance authentifié sur ZenCart (CVE-2021-3291)

  • attApacheHttpPathTraversalUnix - Traversée de chemin Apache HTTP Server et exécution de code à distance (CVE-2021-42013)

  • attAPIBrokenFunctionLevelAuthorization - Règle de sécurité de l'API pour Violation de l'autorisation au niveau de la fonction (Vérifier avec la requête d’origine avec d'autres méthodes HTTP)

  • attConfluenceRemoteCommandExecutionAdns - Injection OGNL Webwork Server (CVE-2021-26084) à l'aide d'ADNS

  • attAPIMassAssignment - Règle de sécurité de l'API pour Attribution de masse (requête avec paramètres/objets admin et obtention de l'accès)
  • attAPILackResourcesRateLimit - Règle de sécurité de l'API pour le manque de ressources et la limitation de débit (définir des valeurs plus importantes pour les paramètres de requête, ce qui surcharge le serveur)
  • attCSRFinGraphQL - Détecter la vulnérabilité CSRF dans les points de terminaison GraphQL
  • attCSPInjection - Détecter si le site Web est vulnérable face à l'injection de stratégie CSP
  • attAPIImproperAssetsManagement - Règle de sécurité de l’API pour Mauvaise gestion des actifs (requête pour les chemins non exposés)
  • attAPIImproperAssetsManagementDomain - Règle de sécurité de l’API pour Mauvaise gestion des actifs (requête pour les domaines non exposés)
  • attbootstrapXSS - Détection de règle Bootstrap obsolète

    La liste complète des correctifs, des mises à jour et des RFE de cette édition est répertoriée ici.

Modifications à venir

Les options suivantes seront supprimées dans une version future :

  • Les stratégies de test Web Services, The Vital Few et Developer Essentials seront supprimées, car des résultats similaires peuvent maintenant être obtenus à l'aide d'autres stratégies. Pour plus d'informations, voir Stratégies de test prédéfines.
  • La prise en charge du navigateur Internet Explorer (IE) va être supprimée.