HCL AppScan® Enterprise の新機能
HCL AppScan® Enterprise の新機能 10.0.7
このセクションでは、このリリースにおける 製品の新機能と拡張機能の他、推奨されない機能と、予想される変更についても説明します。
- TLS 1.3 用に構成されたターゲット・アプリケーションのスキャンのサポート
- MFA: TOTP および URL 生成 OTP のサポート ( 「OTP の設定」を参照)
- 新しい業界標準のレポート:
- 「CWE/SANS 上位 25 の最も危険なエラー」が「CWE 上位 25 の最も危険なソフトウェアの脆弱性 2021」に置き換えられました
- OWASP TOP 10 - 2021
- IAST の改善 - 問題情報:
- 新しい「追加情報」セクション
- より多くの問題に悪用例が含まれました
フィックスとセキュリティー更新
このリリースの新しいセキュリティー・ルールには、以下が含まれます。-
attApacheHttpPathTraversalUnix - Apache HTTP Server のパス・トラバーサルの脆弱性 (CVE-2021-41773)
-
attZencartRemoteCommandExecutionAdns - ZenCart での認証済み RCE (CVE-2021-3291)
-
attApacheHttpPathTraversalUnix - Apache HTTP サーバー・パス・トラバーサルおよび RCE (CVE-2021-42013)
-
attAPIBrokenFunctionLevelAuthorization - 破損した機能レベル権限に関する API セキュリティー・ルール (他の HTTP メソッドで元の要求を確認)
-
attConfluenceRemoteCommandExecutionAdns - ADNS を使用した Confluence サーバー Webwork OGNL 注入 (CVE-2021-26084)
- attAPIMassAssignment - 大量割り当てに関する API セキュリティー・ルール (管理パラメーター/オブジェクトを使用して要求し、アクセス権を取得)
- attAPILackResourcesRateLimit - リソースの不足とレート制限に関する API セキュリティー・ルール (サーバーに負荷をかける要求パラメーターに大きな値を設定)
- attCSRFinGraphQL - GraphQL エンドポイントでの CSRF の脆弱性の検出
- attCSPInjection - Web サイトが CSP ポリシー注入に対して脆弱な場合に検出
- attAPIImproperAssetsManagement - ImproperAssets 管理に関する API セキュリティー・ルール (未露出パスの要求)
- attAPIImproperAssetsManagementDomain - ImproperAssets 管理に関する API セキュリティー・ルール (未露出ドメインの要求)
- attbootstrapXSS - 古くなったブートストラップ・ルールの検出
このリリースのフィックス、更新、および RFE の完全なリストは こちらです。
今後の変更
以下は将来のリリースで削除される予定です。
- 他のポリシーを使用して同様の結果が得られたので、Web サービス、厳選テスト、開発者必需テストのポリシーは削除されます。詳しくは、「事前定義テスト・ポリシー」を参照してください。
- Internet Explorer (IE) ブラウザーのサポートは削除されます。