HCL AppScan® Enterprise 中的新增功能

HCL AppScan® Enterprise 10.0.7 中的新增功能

本部分介绍此版本中的新增产品功能和增强功能,以及相关弃用和预期变更。
  • 支持扫描为 TLS 1.3 配置的目标应用程序
  • MFA:支持 TOTP 和 URL 生成的 OTP(请参阅配置 OTP
  • 新行业标准报告:
    • “CWE/SANS 最危险的 25 个错误”已替换为“CWE 2021 年最危险的 25 个软件弱点”
    • OWASP TOP 10 - 2021
  • IAST 改进 - 问题信息:
    • 新增“更多信息”部分
    • 包含漏洞利用示例以说明更多问题

修复和安全更新

此发行版中的新安全规则包括:

  • attApacheHttpPathTraversalUnix - Apache HTTP Server 中的路径遍历漏洞 (CVE-2021-41773)

  • attZencartRemoteCommandExecutionAdns - ZenCart 上的认证 RCE (CVE-2021-3291)

  • 41attApacheHttpPathTraversalUnix - Apache HTTP Server 路径遍历和 RCE (CVE-2021-42013)

  • attAPIBrokenFunctionLevelAuthorization - 关于中断功能级别授权的 API 安全性规则(使用其他 HTTP 方法检查原始请求)

  • attConfluenceRemoteCommandExecutionAdns - 使用 ADNS 的 Confluence Server Webwork OGNL 注入 (CVE-2021-26084)

  • attAPIMassAssignment - 关于批量分配的 API 安全性规则(请求管理员参数/对象并获取访问权)
  • attAPILackResourcesRateLimit - 关于资源缺乏和速率限制的 API 安全性规则(为请求参数设置较大的值,这会使服务器承受压力)
  • attCSRFinGraphQL - 检测 GraphQL 端点中的 CSRF 漏洞
  • attCSPInjection - 检测网站是否易受 CSP 策略注入攻击
  • attAPIImproperAssetsManagement - 关于不当资产管理的 API 安全性规则(针对未公开路径的请求)
  • attAPIImproperAssetsManagementDomain - 关于不当资产管理的 API 安全性规则(针对未公开域的请求)
  • attbootstrapXSS - 过时引导程序规则检测

    此处列出了此发行版中修订、更新和 RFE 的完整列表。

即将推出的变更

以下功能将在将来的版本中删除:

  • Web 服务、“关键的少数”和“开发者精要”测试策略将被删除,因为现在可以使用其他策略实现类似的结果。有关信息,请参阅预定义的测试策略
  • 将除去对 Internet Explorer (IE) 浏览器的支持。