HCL AppScan® Enterprise の新機能

AppScan® Enterprise の新機能および機能拡張について説明します。

重要な通知

HCL AppScan Enterprise の新規リリースにおける IBM ライセンスのサポートは、2020 年第 3 四半期 (8 月/9 月) で終了します。それ以降のバージョンでは、HCL ライセンスのみがサポートされます。HCL ライセンスの取得とインストールの手順については、製品資料を参照してください。詳細については、HCL の担当者またはサポートにお問い合わせください。

HCL AppScan® Enterprise 10.0.1 の新機能

このセクションでは、このリリースにおける製品の新機能と拡張機能のほか、推奨されない機能と、予想される変更についても説明します。

アクション・ベースの探査

自動アクション・ベースの探査の精度と範囲が改善されました。

テストの強化

より正確な結果を得るためのエラー・ページ検出が向上しました。
CVE-2018-7600 の新しいバリアント: DRUPAL でのリモート・コマンド実行: AppScan DNS 機能を使用できるようになりました。
CVE-2018-9206 の新しいテスト: Blueimp jQuery ファイル・アップロードを使用したファイル・アップロードが無制限になりました。
SSRF の新しいバリアント: ドットなしの 16 進数 IP です。
ディレクトリー推測: 50 の新しいディレクトリー推測ルールが追加されました。
マルチステップ操作: 構成した場合、シーケンスの後続のステップの検証は、特定のステップのテストをするときに、SQL 注入、コマンド挿入およびパス・トラバーサルを含むようになりました (XSS に追加)。マルチステップ操作を参照してください: 検証。

問題の統合

結果のセットをよりコンパクトにするための、特定の頻繁に発生する問題の統合。例えば、アプリケーション間で複数の場所で発生する単一のリソース (サーバー構成など) を共有する問題。統合することで、問題の全体数が削減されますが、詳細が失われることはありません。

注: これにより、変更されていないサイトの新しいスキャンは、以前のスキャンで検出されたものよりも少ない問題を示す可能性があります (しかし、これらの問題のバリアントをより多くリストする可能性があります)。

コンプライアンス・レポート

最新の DISA 標準レポート V4R10 をサポートします。

アプリケーション・ツリー

「スキャン統計」>「検出されたページ」の「表示」をクリックして、アプリケーション・ツリーを表示できるようになりました。

エンジンのバージョン

DAST エンジンのバージョンが AppScan Enterprise コンソールに表示されるようになりました。これがセキュリティー・ルールのバージョンの代わりに使用されます。

レポート生成の機能拡張

REST API を使用して生成される XML レポートの場合、要求/応答トラフィック・データはデフォルトで切り捨てられます。新規の <href>属性がエレメント <test-http-traffic>および <original-http-traffic>の下に追加されました。このエレメントには、特定のバリアントの完全な要求/応答トラフィック・データへのリンクが含まれています。

REST API の機能拡張

API:GET jobs/search and GET /folders/{folderid}/folderitems は、ログやスキャン・ファイルなどのスキャン関連データの可用性に関する情報を提供するようになりました。
API:GET /services/variants/{variantid} が追加されました。これは、バリアントの要求/応答トラフィック・データを返します。

将来のリリースでの削除予定

以下は将来のリリースで削除される予定です。

Generic Service Client (GSC)
アドバイザリーおよび問題の詳細での X-Force 分類
32 ビット Windows OS 上の HCL AppScan Enterprise サーバー
IE ブラウザー用の HCL AppScan Enterprise プラグイン
マニュアル探査