HCL AppScan® Enterprise の新機能

HCL AppScan® Enterprise の新機能 10.0.7

このセクションでは、このリリースにおける 製品の新機能と拡張機能の他、推奨されない機能と、予想される変更についても説明します。
  • TLS 1.3 用に構成されたターゲット・アプリケーションのスキャンのサポート
  • MFA: TOTP および URL 生成 OTP のサポート ( 「OTP の設定」を参照)
  • 新しい業界標準のレポート:
    • 「CWE/SANS 上位 25 の最も危険なエラー」が「CWE 上位 25 の最も危険なソフトウェアの脆弱性 2021」に置き換えられました
    • OWASP TOP 10 - 2021
  • IAST の改善 - 問題情報:
    • 新しい「追加情報」セクション
    • より多くの問題に悪用例が含まれました

フィックスとセキュリティー更新

このリリースの新しいセキュリティー・ルールには、以下が含まれます。

  • attApacheHttpPathTraversalUnix - Apache HTTP Server のパス・トラバーサルの脆弱性 (CVE-2021-41773)

  • attZencartRemoteCommandExecutionAdns - ZenCart での認証済み RCE (CVE-2021-3291)

  • attApacheHttpPathTraversalUnix - Apache HTTP サーバー・パス・トラバーサルおよび RCE (CVE-2021-42013)

  • attAPIBrokenFunctionLevelAuthorization - 破損した機能レベル権限に関する API セキュリティー・ルール (他の HTTP メソッドで元の要求を確認)

  • attConfluenceRemoteCommandExecutionAdns - ADNS を使用した Confluence サーバー Webwork OGNL 注入 (CVE-2021-26084)

  • attAPIMassAssignment - 大量割り当てに関する API セキュリティー・ルール (管理パラメーター/オブジェクトを使用して要求し、アクセス権を取得)
  • attAPILackResourcesRateLimit - リソースの不足とレート制限に関する API セキュリティー・ルール (サーバーに負荷をかける要求パラメーターに大きな値を設定)
  • attCSRFinGraphQL - GraphQL エンドポイントでの CSRF の脆弱性の検出
  • attCSPInjection - Web サイトが CSP ポリシー注入に対して脆弱な場合に検出
  • attAPIImproperAssetsManagement - ImproperAssets 管理に関する API セキュリティー・ルール (未露出パスの要求)
  • attAPIImproperAssetsManagementDomain - ImproperAssets 管理に関する API セキュリティー・ルール (未露出ドメインの要求)
  • attbootstrapXSS - 古くなったブートストラップ・ルールの検出

    このリリースのフィックス、更新、および RFE の完全なリストは こちらです。

今後の変更

以下は将来のリリースで削除される予定です。

  • 他のポリシーを使用して同様の結果が得られたので、Web サービス、厳選テスト、開発者必需テストのポリシーは削除されます。詳しくは、「事前定義テスト・ポリシー」を参照してください。
  • Internet Explorer (IE) ブラウザーのサポートは削除されます。