HCL AppScan® Enterprise の新機能
AppScan® Enterprise の新機能および機能拡張について説明します。
重要な通知
HCL AppScan Enterprise の新規リリースにおける IBM ライセンスのサポートは、2020 年第 3 四半期 (8 月/9 月) で終了します。それ以降のバージョンでは、HCL ライセンスのみがサポートされます。HCL ライセンスの取得とインストールの手順については、製品資料を参照してください。詳細については、HCL の担当者またはサポートにお問い合わせください。
HCL AppScan® Enterprise 10.0.1 の新機能
このセクションでは、このリリースにおける製品の新機能と拡張機能のほか、推奨されない機能と、予想される変更についても説明します。
アクション・ベースの探査
自動アクション・ベースの探査の精度と範囲が改善されました。
- より正確な結果を得るためのエラー・ページ検出が向上しました。
- CVE-2018-7600 の新しいバリアント: DRUPAL でのリモート・コマンド実行: AppScan DNS 機能を使用できるようになりました。
- CVE-2018-9206 の新しいテスト: Blueimp jQuery ファイル・アップロードを使用したファイル・アップロードが無制限になりました。
- SSRF の新しいバリアント: ドットなしの 16 進数 IP です。
- ディレクトリー推測: 50 の新しいディレクトリー推測ルールが追加されました。
- マルチステップ操作: 構成した場合、シーケンスの後続のステップの検証は、特定のステップのテストをするときに、SQL 注入、コマンド挿入およびパス・トラバーサルを含むようになりました (XSS に追加)。マルチステップ操作を参照してください: 検証。
問題の統合
結果のセットをよりコンパクトにするための、特定の頻繁に発生する問題の統合。例えば、アプリケーション間で複数の場所で発生する単一のリソース (サーバー構成など) を共有する問題。統合することで、問題の全体数が削減されますが、詳細が失われることはありません。
コンプライアンス・レポート
最新の DISA 標準レポート V4R10 をサポートします。
アプリケーション・ツリー
「スキャン統計」>「検出されたページ」の 「表示」をクリックして、アプリケーション・ツリーを表示できるようになりました。
エンジンのバージョン
DAST エンジンのバージョンが AppScan Enterprise コンソールに表示されるようになりました。これがセキュリティー・ルールのバージョンの代わりに使用されます。
レポート生成の機能拡張
REST API を使用して生成される XML レポートの場合、要求/応答トラフィック・データはデフォルトで切り捨てられます。新規の <href>
属性がエレメント <test-http-traffic>
および <original-http-traffic>
の下に追加されました。このエレメントには、特定のバリアントの完全な要求/応答トラフィック・データへのリンクが含まれています。
- API:GET jobs/search and GET /folders/{folderid}/folderitems は、ログやスキャン・ファイルなどのスキャン関連データの可用性に関する情報を提供するようになりました。
- API:GET /services/variants/{variantid} が追加されました。これは、バリアントの要求/応答トラフィック・データを返します。
将来のリリースでの削除予定
以下は将来のリリースで削除される予定です。
- Generic Service Client (GSC)
- アドバイザリーおよび問題の詳細での X-Force 分類
- 32 ビット Windows OS 上の HCL AppScan Enterprise サーバー
- IE ブラウザー用の HCL AppScan Enterprise プラグイン
- マニュアル探査