既知の問題と回避策

既知の問題と回避策を示します。

1. 既知の問題と回避策
問題 回避策
問題を再テストすると、問題が実際に修正されていない場合でも、問題の状況が「修正済み」として報告されることがあります。 サイトで認証が必要な場合は、正しい再テスト状況を提供するために、再テストのスキャン・レベルでログインを必須に設定する必要があります。
問題のタイプ「Spring MVC でのリモート・コマンド実行 (CVE-2022-22965)」を再テストすると、問題が実際に修正されていない場合でも、「再オープン」ではなく「修正済み」として問題の状況が報告されることがあります。 アプリケーションのフル・スキャンを実行して、この問題のタイプが修正されているかどうかを確認することをお勧めします。
「モニター」タブでは、問題をクリックしても問題の詳細は表示されません。代わりに、エラー・メッセージ「CRWAS9999E 不明なエラーが発生しました。」が表示されます。この問題は、問題の詳細のテキスト・コンテンツが大きい場合に発生します。 <ASE install Dir>\AppScan Enterprise\Liberty\usr\servers\<server instance> に移動し、-Xss1024m という行を jvm.options に追加して、「HCL AppScan Enterprise Server」サービスを再始動します。
エージェント・サービスに「ライセンスの検査」状況が表示されます。 スキャナー・マシンで「HCL AppScan Agent Service」を再始動します。

DAST プロキシーの場合、Firefox ブラウザーを使用してトラフィックを記録しても、「セッション内」は自動的に検出されません。

メイン・ページの URL を選択して 「セッション中」 ボタンをクリックして「セッション内」を手動で追加するか、トラフィックの記録前に大量のトラフィックを作成するすべての Firefox プラグイン (例: Clockify) をオフにします。
OWASP 2017 の削除と OWASP 2021 レポートのサポート: 10.0.7 より前に作成されたレポート・パックとレポート・パック・テンプレートには、いずれも OWASP 2017 レポートが使用されています。 必要に応じて、2017 年 OWASP Top 10 を手動で削除し、既存のすべてのスキャンのレポート・パックに 2021 年 OWASP Top 10 を追加してレポート・パックを実行する必要があります。
IAST エージェント・ページでは、次のような UI の不具合が発生する可能性があります。
「アクション」ドロップダウンから 「キーの生成」ボタンをクリックしても、応答がありません。 ページを最新表示して、再試行してください。
生成キー・ポップアップで 「生成」」ボタンをクリックしても、応答がありません。 複数回クリックしないでください。約 1 分間待っても応答がない場合は、ポップアップを閉じてもう一度実行してください。
Node.js エージェントのキーを再生成すると、パッケージ・サイズが大きくなる可能性があります。 ほとんどの場合に機能しているため、これは無視できます。
ダウンロードした Node.js エージェントに適切なエージェント・キーがない場合。 エージェント・キーを再生成し、エージェントを再度ダウンロードします。
SAST の問題の場合、インポートされたジョブが「スキャン」タブで実行されると、共通の問題に対して使いやすい名前が生成されるようになりました。「モニター」 タブでは、以前のリリースとの整合性を保つために古い形式の ID が引き続き使用されます。今後、使いやすい名前に更新される予定です。このため、同じアプリケーションを使用してソース・データを「モニター」タブに直接インポートし、同じアプリケーションを「スキャン」タブで実行されるソース・インポート・ジョブにリンクすると、異なる問題タイプ (SQL 注入、クロスサイト・スクリプティングなど) に分類される問題が発生する可能性があります。 AppScan Enterprise に複数の SAST の問題をインポートする場合は、次のようにすべての問題に対して同じメカニズムを使用することをお勧めします: 「モニター」 タブのすべてのスキャンをインポートするか、 「スキャン」 タブでインポート・ジョブとしてすべてのジョブを実行し、アプリケーションにリンクします。機能に影響はありません。この問題は、表示にのみ影響します。
Payment Card Industry Data Security Standard (PCI) レポートの日本語バージョンでは、コンプライアンスの詳細が省略されています。 この問題の詳細については、障害に関する以下の記事を参照してください: https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0094517
AppScan Enterprise UI 言語が英語以外の言語に設定されている場合は、以下の問題が発生する可能性があります。
  • 「モニター」ページで、スキャンの問題の「問題について」ページに移動すると、理由に関する情報は常に英語で表示されます。
  • UI 言語が Espanola (スペイン語) に設定されている場合は、リファレンス API リンクと「修正方法」レポートの内容が英語で表示されます。
  • 「モニター」タブで異なる言語とエクスポートの問題を選択すると、IssueType 名が英語で表示されます。
  • 別の言語に切り替えると、「スキャン」タブの「修正方法」 (異なるプログラミング言語の内容) が以前の言語で表示されます。
  • ase_plan.pdf ファイルと Readme ファイルは翻訳されません。
言語設定を変更しても、UI 機能は影響を受けません。ただし、この情報が英語になります。したがって、これらの問題が後続のリリースで解決されるまで、引き続き UI 機能を使用することをお勧めします。
既に使用中のポートにユーザーが修正方法を設定している場合、UI ユーザーが問題の詳細にアクセスして修正方法のリンクにアクセスしようとしても、適切なエラー・メッセージが表示されません。 別のポートに修正方法を指定して、構成ウィザードを再実行します。
ユーザーが ASE UI で ユーザー定義テスト・ファイルをアップロードすると、次のエラー・メッセージが表示されます:アドバイザリー・サービス・サーバーへの接続中にエラーが発生しました。 UDT ファイルは、AppScan Enterprise に正常にインポートされます。しかし、ユーザーには UI またはレポートに UDT issueTypeId が「修正方法」の情報が表示されません。
UDT issueTypeId の xml「修正方法」情報を参照するには、次のようにします。
  1. <ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives フォルダー・パスに移動し、対応する UDT IssueTypeName zip ファイルを抽出します (例:UserDefined_UDT1.zip)。
  2. ユーザーは、<ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives\Advisories\en-US フォルダー・パスにある修正方法/アドバイザリー情報の xml (例: UserDefined_UDT1.xml) ファイルを確認できます。
フォルダーのアクセス権を変更せずにスキャンのページからフォルダーを編集し、「保存」ボタンをクリックすると、アクションが 3 としてマークされた項目が ActivityLog テーブルに作成されます。アクション 3 は、フォルダーが編集されていることを示します。 フォルダー・アクセス権を編集していない場合は、「キャンセル」ボタンをクリックしてページを終了する必要があります。
ドメイン名は、API POST/jobs/{jobId}/dastconfig/updatetraffic/{action} を使用して ADAC クライアント統合 (.exd 形式のファイル) を介した、Postman または SoapUI ツールによって生成されたトラフィック・ファイルから除外されません トラフィック・ファイルからドメインのトラフィックを除外するには、.dast.config.har ファイルを使用する必要があります。
Windows での AppScan Enterprise サービス・アカウントのユーザー許可の変更時に、スキャン・ジョブが失敗しています。 AppScan Enterprise Server と Scanner マシンの両方で、サービス・アカウント・ユーザーを Windows 管理者グループに追加する必要があります。
AppScan エージェント・サービス・プロセスがタスク・マネージャーによって強制終了されるとき、HCL スキャナー・ライセンスのチェックインが即座に行われません。ライセンスがリリースされるまで、約 15 分かかります。 ライセンスを解放するために、サービスを介して、再度エージェントを始動および停止することが推奨されます。
AppScan Enterprise Server がシャットダウンされる前にユーザーがログアウトしていない場合、オープン・セッションでライセンスがプールにチェックインし直されない可能性があります。これらの残されたライセンスは、2 時間後にチェックインし直されます。 ユーザーは、AppScan Enterprise Server がシャットダウンされる前にログアウトする必要があります。
AppScan Enterprise のインストール中に、アプリケーションがシステム内の新しいバージョンの存在を確認せずに Visual C++ 2015 Redistributable をインストールしようとしているため、より高いバージョンの Microsoft Visual C++ Redistributable 2017 が既にシステムにインストールされている場合、Visual C++ 2015 のインストールに失敗します。 Visual C++ 2017 RC Redistributable をアンインストールして、AppScan Enterprise をインストールし、Visual C++ 2017 Redistributable を再インストールしてください。
クイック・スキャンを実行しようとすると、マニュアル探査ブラウザーがアプリケーションを起動しなかったり、ブラウザーが途中でフリーズしたりします。 AppScan トラフィック・レコーダーまたは Activity Recorder でトラフィックを手動で記録し、トラフィックを更新して、クイック・スキャンを実行してください。
製品のインライン・ヘルプは、このリリースの機能についてのみ更新されています。ただし、以前のリリースの機能については、英語のコンテンツと翻訳されたコンテンツのほとんどが古くなっています。オンライン・ヘルプを指す関連リンクがすべて翻訳されているわけではありません。 なし。
拡張ログ・ファイルのサイズが大きい場合 (2GB 以上)、スキャン・タブ概要レポートからのダウンロード・ログ・ファイルの操作の結果、zip ファイルが 0KB になることがあります。 このような場合は、AppScan Enterprise Agent サーバーの Logs ディレクトリーからファイルをコピーします。
Dynamic Analysis Configuration Client でスキャンを編集する場合、編集しているスキャンが AppScan Enterprise で稼働中ではないことを確認してください。稼働中の場合、スキャンの更新中にジョブが中断される可能があります。 Client の「ジョブ・プロパティー」ページで「できるだけ早く実行」チェック・ボックスをクリアしてから、「ジョブの更新」をクリックします。
Dojo 機能のレンダリング。 Microsoft Silverlight を Internet Explorer 8.0 で使用して、Dojo 機能を適切にレンダリングします。
スキャン・ジョブに記録されたログインしか含まれていない場合 (マニュアル探査または開始 URL がない場合)、スキャンはそのページの下ではクロールしません。 少なくとも 1 つの URL をマニュアル探査または「スキャン対象」ページの開始 URL に追加してください。
データベースを 8.8 より前のバージョンからアップグレードしてから、既存のジョブをクリックすると、スキャン・ログは空になっています。 ジョブを再実行して、新規スキャン・ログを生成してください。
「アプリケーション・プロファイル・テンプレートの編集」ページを IE 8/9 で編集すると、変更は保存されません。 編集しているフィールドから移動してページに戻り、変更を保存します。あるいは、ブラウザーを Internet Explorer 11 または FireFox 24 にアップグレードします。
スキャン (アップグレードされたスキャンを含む) の実行時、JavaScript Analyzer (JSA) はデフォルトでオフになっています。 コンテンツ・スキャン・ジョブの「セキュリティー」ページで JSA を有効化します。
エージェントとスキャン対象の Web サイトとの間にファイアウォールが配備されている場合、パフォーマンス低下および検出漏れの結果となるリスクがあります。 AppScan Enterprise Server は、一部のファイアウォール製品が疑わしいネットワーク・アクティビティーとしてフラグを付ける可能性があるセキュリティー・テストを送信します。
ユーザー定義の正規化ルールが空の URL ストリングとなっている場合は、スキャンが終了しないおそれがあります。 ジョブ・プロパティー内で正規化ルールが定義されている場合は、それらの結果が有効な URL であることを確認することが重要です。
問題管理がレポートに関して実行された場合、「レポート・パックの概要」レポートがレポート・データと同期しなくなります。 問題管理タスクの完了時に数を同期化するには、レポート・パックを再実行する必要があります。
削除されたレポートは、ダッシュボードからすぐには除去されません。 変更を有効にするには、ダッシュボードを再実行する必要があります。
Internet Explorer でマニュアル探査機能を使用しているときに、接続の問題とパフォーマンスの低下が発生することがあります。 Internet Explorer でマニュアル探査機能を使用しているときには、「インターネット オプション」の「詳細設定」で、「プロキシ接続で HTTP 1.1 を使用する」を有効にすることをお勧めします。
リストをソートするときに、日本語、および中国語では予想通りに照合順序が機能しない場合があります。 現地固有の照合として .NET および SQL 照合が使用されますが、本製品は ICU には準拠していません。

ADAC のジョブ中断機能が、9.0.3.11 以前で作成したジョブに機能しません。これは、ジョブの編集を保存するまで継続します。

根本原因: これは、アプリケーションに問題があったためで、その開始 URL が ADAC ジョブ用の ASE データベースに更新されていませんでした。中断機能では ASE データベースのドメインを読み取っているため、ADAC ジョブに対する中断が機能しなくなっていました。開始 URL は dast.config ファイルに保管されているため、既存のファイルを手動で編集して ASE データベースに保管される URL に保存する必要があります。

  1. ADAC ジョブ (Created before 9.0.3.11 以前で作成したもの) を編集します。
  2. ジョブの更新を実行します。
  3. これによって構成したとおり (コンテンツ・スキャン・ジョブと同じよう) に中断が機能します。