已知问题和变通方法

以下是已知问题及其变通方法。

1. 已知问题和变通方法
问题 变通方法
对于 SAST 问题,在“扫描”选项卡中运行导入的作业时,它现在为常见问题生成用户友好的名称。“监控”选项卡继续使用旧格式的标识,以与之前的发行版保持一致,并且以后将使用用户友好名称进行更新。因此,如果使用同一应用程序将源数据直接导入“监控”选项卡,并且将同一应用程序链接到“扫描”选项卡中运行的源导入作业,那么您可能会注意到不同问题类型下分类的一些问题(例如 SQL 注入和跨站点脚本编制)。 如果将多个 SAST 问题导入 AppScan Enterprise,建议对所有这些问题使用相同的机制:在“监控”选项卡中导入所有扫描,或在“扫描”选项卡中将所有作业作为导入作业运行并链接到应用程序。对功能没有影响;此问题仅影响显示。
支付卡行业数据安全标准 (PCI) 报告的日语版本省略了合规性详细信息。 有关此问题的详细信息,请参阅以下缺陷文章: https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0094517
当 AppScan Enterprise UI 语言设置为除英语外的其他语言时,可能会发生以下问题:
  • 在“监控”页面中,浏览至扫描问题的“关于问题”页面时,“原因”信息始终以英语显示。
  • 在已完成扫描的“扫描”页面中,生成的安全性报告的标题始终以英语显示。
  • 在“监控”页面中,生成“安全性”报告的复选框标签将显示为建议和修复建议,而非新名称修复方法。
  • 当 UI 语言设置为 Espanola(西班牙语)时,会以英语显示“参考 API”链接和“修复方法”报告内容。
  • 从“监控”选项卡中选择其他语言并导出问题时,IssueType 名称将以英语显示。
  • 切换到另一种语言时,“扫描”选项卡中的修复方法(不同编程语言内容)将以先前语言显示。
 任何语言设置更改都不会对 UI 功能产生任何影响,但这些信息会以英语提供。因此,建议继续使用该功能,直到这些问题在后续发行版中得到解决为止。
如果用户已为使用中的端口配置“修复方法”,则用户在尝试访问“问题”详细信息和访问“修复方法”链接时,将不会在 UI 中看到相应的错误消息。 重新运行配置向导,将“修复方法”指向另一个端口。
如果用户在 ASE UI 中上传用户定义的测试文件,系统将显示错误消息:连接到咨询服务服务器时发生错误 UDT 文件将成功导入到 AppScan Enterprise,但是用户在 UI 或报告中看不到“UDT issueTypeIds 'How To Fix'” 信息。
要查看 UDT issueTypeIds 的“修复方法”xml 信息,请执行以下操作:
  1. 导航到 <ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives 文件夹路径,然后解压缩相应的 UDT IssueTypeName zip 文件(示例:UserDefined_UDT1.zip)。
  2. 用户可在 <ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives\Advisories\en-US 文件夹路径中看到修复方法/咨询信息 xml(示例:UserDefined_UDT1.xml)文件。
在某些情况下,升级到 10.0.4 时会在配置文件中添加重复的条目 有关如何解决此问题的信息,请参阅技术说明 https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0090236
在未更改文件夹许可权的情况下从扫描页面中编辑文件夹并单击保存按钮时,它会在“ActivityLog”表中创建一个条目,并包含被标记为 3 的操作。操作 3 指示文件夹已编辑。 如果未编辑文件夹许可权,必须单击取消按钮以退出页面。
使用 API POST/jobs/{jobId}/dastconfig/updatetraffic/{action} 未能将域名从 PostmanSoupUI 工具通过 ADAC 客户机集成生成的流量文件(.exd 格式的文件)中排除 必须使用 .dast.config.har 文件从流量文件中排除域的流量。
在 Windows 中更改 AppScan Enterprise 服务帐户的用户许可权时,扫描作业失败。 必须将服务帐户用户同时添加到 AppScan Enterprise 服务器和扫描程序机器上的 Windows 管理员组。
通过任务管理器终止 AppScan Agent 服务进程时,系统不会立即签入 HCL 扫描程序许可证。发行许可证大约需要 15 分钟的时间。 建议再次通过服务启动和停止代理,以发行许可证。
如果在关闭 AppScan Enterprise Server 之前未注销用户,则打开的会话可能导致许可证未签回池中。未签回的许可证需在 2 小时后才能签回。 用户应先注销,然后再关闭 AppScan Enterprise Server。
从 9.0.3.12 升级到 10.0.3 时显示错误消息。 从 AppScan Enterprise V9.0.3.12 升级到 V10.0.3 时,如果显示 WFWEO.dll 注册失败错误消息,则必须卸载 V10.0.3(即使在卸载时也可能遇到相同的错误消息)。卸载 AppScan Enterprise V10.0.3 之后,必须再次重新安装指向现有数据库的 AppScan Enterprise V10.0.3。
在安装 AppScan Enterprise 时,如果系统中已经安装了更高版本的 Microsoft Visual C++ Redistributable 2017,则无法安装 Visual C++ 2015,因为该应用程序试图安装 Visual C++ 2015 Redistributable,而没有检查系统中是否存在较新的版本。 卸载 Visual C++ 2017 RC Redistributable,安装 AppScan Enterprise,然后重新安装 Visual C++ 2017 Redistributable。
尝试执行 QuickScan 时,手动浏览工具浏览器无法启动应用程序,或者浏览器立即冻结。 通过“手动浏览”工具或“活动记录器”手动记录流量,并更新流量,同时运行 QuickScan。
Knowledge Center (KC) 已经更新了所有更改,但产品内嵌的帮助没有在这个版本中更新。 不适用
如果扩展日志文件很大(超过 2GB),则有时候从“扫描”选项卡摘要报告下载日志文件的操作可能会导致压缩文件的大小为 0KB。 在这种情况下,请从 AppScan Enterprise 代理服务器的“Logs”目录中复制文件。
移除 OWASP 2013 和支持 OWASP 2017 报告:在 9.0.3.9 版之前创建的所有报告包和报告包模板都将提供 OWASP 2013 报告。 如果有需要,用户必须手动移除 OWASP 2013 报告包并添加新的 OWASP 2017 报告。
动态分析配置客户机中编辑扫描时,请确保正在编辑的扫描未在 AppScan Enterprise 中运行;否则,在更新扫描时该扫描可能会暂挂。 请在客户机的“作业属性”页面上,取消选中“尽快运行作业”复选框,然后单击“更新作业”。
呈现 Dojo 功能。 将 Microsoft Silverlight 与 Internet Explorer 8.0 结合使用可正确地呈现 Dojo 功能。
当扫描作业仅具有记录的登录(没有手动探索或起始 URL)时,扫描不会深入到该页面之下。 向“扫描内容”页面的手动探索或起始 URL 至少添加一个 URL。
如果从 8.8 之前的版本升级数据库,然后单击任何现有作业,那么扫描日志将为空。 运行作业以生成新的扫描日志。
在 IE 8/9 中编辑“编辑应用程序概要信息模板”页面时,更改未保存。 离开您正在编辑的字段,返回页面并保存您的更改。或者,将浏览器升级为 Internet Explorer 11 或 Firefox 24。
缺省情况下,JavaScript Analyzer (JSA) 在扫描时关闭,包括升级的扫描。 在内容扫描作业的“安全”页面上启用 JSA。
在代理和正在扫描的 Web 站点之间部署防火墙时,会有性能降低和出现错误否定结果的风险。 AppScan Enterprise Server 发送的安全性任务可能被某些防火墙产品标记为可疑网络活动。
如果用户定义的规范化规则生成了空 URL 字符串,那么扫描可能无法停止。 “作业属性”中定义了规范化规则时,请务必确保能生成有效 URL。
如果已针对报告执行了“问题管理”,那么“报告包摘要”报告将不与报告数据同步。 完成“问题管理”任务时,必须重新运行“报告包”,以同步数字。
删除报告不会将报告从仪表板中立即除去。 必须重新运行仪表板才能使更改生效。
在 Internet Explorer 上使用“手动探索”功能时,可能出现连接问题和/或性能降低。 在 Internet Explorer 中使用“手动探索”功能时,建议针对“通过代理连接使用 HTTP 1.1”启用“Internet/高级”选项
对列表进行排序时,整理顺序可能不会按照预期进行:丹麦语日语中文 将使用 .NETSQL 整理以及特定于语言环境的整理,但本产品不依从 ICU。

运行 ASE 9.0.3.12 的配置向导(在升级安全规则步骤之后)时出现以下错误消息:

无法启动 Liberty 服务器。详细信息:TRAS0038E:系统无法删除文件 \IBM\AppScan Enterprise\Liberty\usr\servers\ase\logs\trace.log

 错误消息只在 ASE 从 V9.0.3.x 升级到 V9.0.3.12,并启用跟踪日志(例如从管理选项卡 UI 启用调试日志时)时才会出现。

解决办法

  • 升级到 9.0.3.12 前,请在现有 ASE UI(管理选项卡>常规设置>日志设置>编辑)中检查日志记录是否已启用。如果已启用,请在管理选项卡中禁用日志。
  • 浏览到这个位置 - “ASE 安装目录”\HCL\AppScan Enterprise\Liberty\usr\servers\ase\logs\?
  • 在上述目录中删除所有以 trace 开头的日志文件。
  • 执行 ASE 升级。应该不会再次遇到这个问题。
  • 如果在运行配置向导时遇到这个问题,请关闭配置向导。
    • 前往“ASE 安装目录”\HCL\AppScan Enterprise\Liberty\usr\servers\ase\logs\
    • 在上述目录中删除所有以“trace”开头的日志文件。
    • 从头运行配置向导。这应该可以解决此问题。

在作业上进行编辑保存之前,ADAC 作业中断不适用于 9.0.3.11 之前创建的作业。

根本原因:应用程序有一个问题,启动 URL 没有更新到 ADAC 作业的 ASE 数据库中。由于中断会从 ASE 数据库读取域,因此这正是中断不适用于 ADAC 作业的原因。由于启动 URL 存储在 dast.config 文件中,现有作业必须进行手动编辑并保存,这样一来,URL 才会存储到 ASE 数据库中。
  1. 编辑 ADAC 作业(创建于 9.0.3.11 之前)。
  2. 执行作业更新。
  3. 中断应该按照配置进行工作(与内容扫描作业类似)。
使用 REST API 的 StartingURL 搜索 /jobs/search API 仅适用于 9.0.3.11 和后续版本创建的扫描作业。 不适用