已知问题和变通方法

以下是已知问题及其变通方法。

1. 已知问题和变通方法
问题 变通方法
重新测试某个问题可能导致问题状态被报告为“已修复”,即使问题实际上未修复也是如此。 如果站点需要认证,那么您必须在扫描级别设置强制登录,才能让“重新测试”提供正确的重新测试状态。
重新测试问题类型“Spring MVC 上的远程命令执行 (CVE-2022-22965)”可能导致问题状态被报告为“已修复”而不是“已重新打开”,即使问题实际上未修复也是如此。 建议对应用程序运行完全扫描,以确认此问题类型是否已修复。
在“监控”选项卡中,单击问题时不会显示问题详细信息,而是显示错误消息“CRWAS9999E 发生了未知错误”。如果问题详细信息的文本内容较多,就会出现此问题。 浏览至 <ASE 安装目录>\AppScan Enterprise\Liberty\usr\servers\<服务器实例>,将 -Xss1024m 这一行添加到 jvm.options 中,然后重新启动“HCL AppScan Enterprise Server”服务。
代理进程服务显示“检查许可证”状态。 在扫描程序机器上重新启动“HCL AppScan Agent 服务”。

对于 DAST 代理,当使用 Firefox 浏览器记录流量时,不会自动检测会话中。

通过选择主页 URL 并单击会话中按钮手动添加会话中,或在记录流量之前,关闭任何会产生大量流量的 Firefox 插件,例如 Clockify。
移除 OWASP 2017 和支持 OWASP 2017 报告:在 10.0.7 版之前创建的所有报告包和报告包模板都将提供 OWASP 2017 报告。 如果需要,用户必须手动移除 OWASP Top 10 2017,并将 OWASP Top 10 2021 添加到所有现有扫描的报告包,同时运行报告包。
在“IAST 代理程序”页面中,您可能会遇到一些 UI 故障,如下所示:
单击操作下拉列表中的生成密钥按钮时,没有响应。 请刷新页面并重试。
在生成密钥弹出窗口中,当您单击生成按钮时,没有响应。 请勿多次单击。等待大约一分钟,如果仍没有响应,请关闭弹出窗口并重试。
重新生成 Node.js 代理程序密钥时,包大小可能会增加。 这一点可以忽略,因为它在大多数情况下都有效。
如果下载的 Node.js 代理程序没有相应的代理程序密钥。 重新生成代理程序密钥并再次下载代理程序。
对于 SAST 问题,在“扫描”选项卡中运行导入的作业时,它现在为常见问题生成用户友好的名称。“监控”选项卡继续使用旧格式的标识,以与之前的发行版保持一致,并且以后将使用用户友好名称进行更新。因此,如果使用同一应用程序将源数据直接导入“监控”选项卡,并且将同一应用程序链接到“扫描”选项卡中运行的源导入作业,那么您可能会注意到不同问题类型下分类的一些问题(例如 SQL 注入和跨站点脚本编制)。 如果将多个 SAST 问题导入 AppScan Enterprise,建议对所有这些问题使用相同的机制:在“监控”选项卡中导入所有扫描,或在“扫描”选项卡中将所有作业作为导入作业运行并链接到应用程序。对功能没有影响;此问题仅影响显示。
支付卡行业数据安全标准 (PCI) 报告的日语版本省略了合规性详细信息。 有关此问题的详细信息,请参阅以下缺陷文章: https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0094517
当 AppScan Enterprise UI 语言设置为除英语外的其他语言时,可能会发生以下问题:
  • 在“监控”页面中,浏览至扫描问题的“关于问题”页面时,“原因”信息始终以英语显示。
  • 当 UI 语言设置为 Espanola(西班牙语)时,会以英语显示“参考 API”链接和“修复方法”报告内容。
  • 从“监控”选项卡中选择其他语言并导出问题时,IssueType 名称将以英语显示。
  • 切换到另一种语言时,“扫描”选项卡中的修复方法(不同编程语言内容)将以先前语言显示。
  • ase_plan.pdf 和自述文件未翻译。
任何语言设置更改都不会对 UI 功能产生任何影响,但此信息将以英语提供。因此,建议继续使用该功能,直到这些问题在后续发行版中得到解决为止。
如果用户已为使用中的端口配置“修复方法”,则用户在尝试访问“问题”详细信息和访问“修复方法”链接时,将不会在 UI 中看到相应的错误消息。 重新运行配置向导,将“修复方法”指向另一个端口。
如果用户在 ASE UI 中上传用户定义的测试文件,系统将显示错误消息:连接到咨询服务服务器时发生错误 UDT 文件将成功导入到 AppScan Enterprise,但是用户在 UI 或报告中看不到 UDT issueTypeIds“修复方法”信息。
要查看 UDT issueTypeIds 的“修复方法”xml 信息,请执行以下操作:
  1. 导航到 <ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives 文件夹路径,然后解压缩相应的 UDT IssueTypeName zip 文件(示例:UserDefined_UDT1.zip)。
  2. 用户可在 <ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives\Advisories\en-US 文件夹路径中看到修复方法/咨询信息 xml(示例:UserDefined_UDT1.xml)文件。
在未更改文件夹许可权的情况下从扫描页面中编辑文件夹并单击保存按钮时,它会在 ActivityLog 表中创建一个条目,并包含被标记为 3 的操作。操作 3 指示文件夹已编辑。 如果未编辑文件夹许可权,必须单击取消按钮以退出页面。
使用 API POST/jobs/{jobId}/dastconfig/updatetraffic/{action} 未能将域名从 PostmanSoapUI 工具通过 ADAC 客户机集成生成的流量文件(.exd 格式的文件)中排除 必须使用 .dast.config.har 文件从流量文件中排除域的流量。
在 Windows 中更改 AppScan Enterprise 服务帐户的用户许可权时,扫描作业失败。 必须将服务帐户用户同时添加到 AppScan Enterprise 服务器和扫描程序机器上的 Windows 管理员组。
通过任务管理器终止 AppScan Agent 服务进程时,系统不会立即签入 HCL 扫描程序许可证。发行许可证大约需要 15 分钟的时间。 建议再次通过服务启动和停止代理,以发行许可证。
如果在关闭 AppScan Enterprise Server 之前未注销用户,则打开的会话可能导致许可证未签回池中。未签回的许可证需在 2 小时后才能签回。 用户应先注销,然后再关闭 AppScan Enterprise Server。
在安装 AppScan Enterprise 时,如果系统中已经安装了更高版本的 Microsoft Visual C++ Redistributable 2017,则无法安装 Visual C++ 2015,因为该应用程序试图安装 Visual C++ 2015 Redistributable,而没有检查系统中是否存在较新的版本。 卸载 Visual C++ 2017 RC Redistributable,安装 AppScan Enterprise,然后重新安装 Visual C++ 2017 Redistributable。
尝试执行 QuickScan 时,手动探索浏览器无法启动应用程序,或者浏览器会立即冻结。 通过 AppScan 流量记录器或 Activity Recorder 手动记录流量,并更新流量,同时运行 QuickScan。
产品内嵌的帮助仅更新了与此发行版中的功能相关的部分。但是,对于以前的发行版中的功能,英文内容和翻译的内容大多已过时。并非所有指向联机帮助的相关链接都已翻译。 不适用。
如果扩展日志文件很大(超过 2 GB),则有时候从“扫描”选项卡摘要报告下载日志文件的操作可能会导致压缩文件的大小为 0 KB。 在这种情况下,请从 AppScan Enterprise 代理服务器的“Logs”目录中复制文件。
动态分析配置客户机中编辑扫描时,请确保正在编辑的扫描未在 AppScan Enterprise 中运行;否则,在更新扫描时该扫描可能会暂挂。 请在客户机的“作业属性”页面上,取消选中“尽快运行作业”复选框,然后单击“更新作业”。
呈现 Dojo 功能。 将 Microsoft Silverlight 与 Internet Explorer 8.0 结合使用可正确地呈现 Dojo 功能。
当扫描作业仅具有记录的登录(没有手动探索或起始 URL)时,扫描不会深入到该页面之下。 向“扫描内容”页面的手动探索或起始 URL 至少添加一个 URL。
如果从 8.8 之前的版本升级数据库,然后单击任何现有作业,那么扫描日志将为空。 运行作业以生成新的扫描日志。
在 IE 8/9 中编辑“编辑应用程序概要信息模板”页面时,更改未保存。 离开您正在编辑的字段,返回页面并保存您的更改。或者,将浏览器升级为 Internet Explorer 11 或 Firefox 24。
缺省情况下,JavaScript Analyzer (JSA) 在扫描时关闭,包括升级的扫描。 在内容扫描作业的“安全”页面上启用 JSA。
在代理和正在扫描的 Web 站点之间部署防火墙时,会有性能降低和出现错误否定结果的风险。 AppScan Enterprise Server 发送的安全性任务可能被某些防火墙产品标记为可疑网络活动。
如果用户定义的规范化规则生成了空 URL 字符串,那么扫描可能无法停止。 “作业属性”中定义了规范化规则时,请务必确保能生成有效 URL。
如果已针对报告执行了“问题管理”,那么“报告包摘要”报告将不与报告数据同步。 完成“问题管理”任务时,必须重新运行“报告包”,以同步数字。
删除报告不会将报告从仪表板中立即除去。 必须重新运行仪表板才能使更改生效。
在 Internet Explorer 上使用“手动探索”功能时,可能出现连接问题和/或性能降低。 在 Internet Explorer 中使用“手动探索”功能时,建议针对“通过代理连接使用 HTTP 1.1”启用“Internet/高级”选项
对列表进行排序时,整理顺序可能不会按照预期进行:日语中文 将使用 .NETSQL 整理以及特定于语言环境的整理,但本产品不依从 ICU。

在作业上进行编辑保存之前,ADAC 作业中断不适用于 9.0.3.11 之前创建的作业。

根本原因:应用程序有一个问题,启动 URL 没有更新到 ADAC 作业的 ASE 数据库中。由于中断会从 ASE 数据库读取域,因此这正是中断不适用于 ADAC 作业的原因。由于启动 URL 存储在 dast.config 文件中,现有作业必须进行手动编辑并保存,这样一来,URL 才会存储到 ASE 数据库中。

  1. 编辑 ADAC 作业(创建于 9.0.3.11 之前)。
  2. 执行作业更新。
  3. 中断应该按照配置进行工作(与内容扫描作业类似)。