HCL AppScan® Enterprise 中的新增功能
HCL AppScan® Enterprise 10.0.7 中的新增功能
本部分介绍此版本中的新增产品功能和增强功能,以及相关弃用和预期变更。
- 支持扫描为 TLS 1.3 配置的目标应用程序
- MFA:支持 TOTP 和 URL 生成的 OTP(请参阅配置 OTP)
- 新行业标准报告:
- “CWE/SANS 最危险的 25 个错误”已替换为“CWE 2021 年最危险的 25 个软件弱点”
- OWASP TOP 10 - 2021
- IAST 改进 - 问题信息:
- 新增“更多信息”部分
- 包含漏洞利用示例以说明更多问题
修复和安全更新
此发行版中的新安全规则包括:-
attApacheHttpPathTraversalUnix - Apache HTTP Server 中的路径遍历漏洞 (CVE-2021-41773)
-
attZencartRemoteCommandExecutionAdns - ZenCart 上的认证 RCE (CVE-2021-3291)
-
41attApacheHttpPathTraversalUnix - Apache HTTP Server 路径遍历和 RCE (CVE-2021-42013)
-
attAPIBrokenFunctionLevelAuthorization - 关于中断功能级别授权的 API 安全性规则(使用其他 HTTP 方法检查原始请求)
-
attConfluenceRemoteCommandExecutionAdns - 使用 ADNS 的 Confluence Server Webwork OGNL 注入 (CVE-2021-26084)
- attAPIMassAssignment - 关于批量分配的 API 安全性规则(请求管理员参数/对象并获取访问权)
- attAPILackResourcesRateLimit - 关于资源缺乏和速率限制的 API 安全性规则(为请求参数设置较大的值,这会使服务器承受压力)
- attCSRFinGraphQL - 检测 GraphQL 端点中的 CSRF 漏洞
- attCSPInjection - 检测网站是否易受 CSP 策略注入攻击
- attAPIImproperAssetsManagement - 关于不当资产管理的 API 安全性规则(针对未公开路径的请求)
- attAPIImproperAssetsManagementDomain - 关于不当资产管理的 API 安全性规则(针对未公开域的请求)
- attbootstrapXSS - 过时引导程序规则检测
此处列出了此发行版中修订、更新和 RFE 的完整列表。
即将推出的变更
以下功能将在将来的版本中删除:
- Web 服务、“关键的少数”和“开发者精要”测试策略将被删除,因为现在可以使用其他策略实现类似的结果。有关信息,请参阅预定义的测试策略。
- 将除去对 Internet Explorer (IE) 浏览器的支持。