HCL AppScan® Enterprise 中的新增功能
AppScan® Enterprise 的新功能和增强功能。
重要声明
新版本 HCL AppScan Enterprise 中对 IBM 许可证的支持将于 2020 年第三季度(8 月/9 月)终止。在此之后,新版本将仅支持 HCL 许可证。有关获取和安装 HCL 许可证的说明,请参阅产品文档。要了解更多信息,请联系 HCL 代表或联系支持人员。
HCL AppScan® Enterprise 10.0.1 中的新增功能
本部分介绍此版本中的新产品功能和增强功能,以及相关弃用和预期变更。
基于操作的探索
提高了基于操作的自动探索的准确性和覆盖范围。
测试增强功能
- 改善了错误页面检测功能,以提高结果准确性。
- CVE-2018-7600 的新变体:DRUPAL 的远程命令执行:现在使用 AppScan DNS 功能。
- CVE-2018-9206 的新测试:使用 Blueimp jQuery-File-Upload 实现不受限制的文件上传。
- SSRF 的新变体:无点十六进制 IP。
- 目录猜测:已添加 50 项新的目录猜测规则。
- 多步骤操作:配置完成后,在测试特定步骤时,序列中后续步骤的验证现在还包括 SQL 注入、命令注入和路径遍历(除 XSS 之外)。请参阅多步骤操作:验证。
问题合并
合并某些经常发生的问题,以生成更为紧凑的结果集。例如,共享单个源(例如服务器配置)、出现在应用程序多个位置的问题。合并可减少问题的总数,但又不会丢失详细信息。
注: 这可能会导致对未更改的站点进行新扫描,显示的问题比先前扫描中发现的问题要少(但是可能会列出这些问题的更多变体)。
一致性报告
支持最新的 DISA 标准报告 V4R10。
应用程序树
现在,您可以在扫描统计信息 > 发现的页面中单击查看链接,查看应用程序树。
引擎版本
DAST 引擎版本现在会显示在 AppScan Enterprise 控制台中。这将取代安全规则版本。
生成报告方面的增强功能
对于使用 REST API 生成的 XML 报告,系统默认截断请求-响应流量数据。在以下元素下新增了新的 <href>属性: <test-http-traffic>和 <original-http-traffic>,该属性包含特定变体的完整请求-响应流量数据链接。
REST API 增强功能
- API:GET jobs/search 和 GET /folders/{folderid}/folderitems 现在提供日志和扫描文件等扫描相关数据的可用性信息。
- API:已添加 GET /services/variants/{variantid},用于返回变体的请求-响应流量数据。
将在将来的版本中删除
以下功能将在将来的版本中删除:
- 通用服务客户机 (GSC)
- 建议和问题详细信息中的 X-Force 分类
- 在 32 位 Windows 操作系统上运行的 HCL AppScan Enterprise 服务器
- 适用于 IE 浏览器的 HCL AppScan Enterprise 插件
- Manual Explorer