HCL AppScan® Enterprise 的新功能
HCL AppScan® Enterprise 10.0.7 的新功能
本節說明此版本中的新產品功能和加強功能,以及相關的淘汰和預期變更。
- 支援掃描針對 TLS 1.3 配置的目標應用程式
- MFA:支援 TOTP 及 URL 產生的 OTP(請參閱設定 OTP)
- 新的業界標準報告:
- 「CWE/SANS 前 25 大最危險的錯誤」已替換為「CWE 前 25 大最危險的軟體弱點 2021」
- OWASP 前 10 大 - 2021
- IAST 改進 - 問題資訊:
- 新增「額外資訊」區段
- 許多其他問題的惡意探索範例
修正和安全更新
此版本中的新安全規則包括:-
attApacheHttpPathTraversalUnix - Apache HTTP Server 中的路徑遍訪漏洞 (CVE-2021-41773)
-
attZencartRemoteCommandExecutionAdns - ZenCart 上鑑別的 RCE (CVE-2021-3291)
-
attApacheHttpPathTraversalUnix - Apache HTTP Server 路徑遍訪和 RCE (CVE-2021-42013)
-
attAPIBrokenFunctionLevelAuthorization - 中斷功能層次授權的 API 安全規則(透過其他 HTTP 方法確認原始要求)
-
attConfluenceRemoteCommandExecutionAdns - 使用 ADNS 的 Confluence Server Webwork OGNL 注入 (CVE-2021-26084)
- attAPIMassAssignment - 大量指派的 API 安全規則(包含管理參數/物件的要求,並取得存取權)
- attAPILackResourcesRateLimit - 缺少資源和速率限制的 API 安全規則(針對要求參數設定較大的值,讓伺服器有壓力)
- attCSRFinGraphQL - 偵測 GraphQL 端點中的 CSRF 漏洞
- attCSPInjection - 偵測網站是否容易遭到 CSP 政策注入的攻擊
- attAPIImproperAssetsManagement - ImproperAssets 管理的 API 安全規則(要求不要洩漏路徑)
- attAPIImproperAssetsManagementDomain - ImproperAssets 管理的 API 安全規則(要求不要洩漏網域)
- attbootstrapXSS - 過期的引導規則偵測
這裡列出了此版本中的修正程式、更新和 RFE 完整清單。
即將進行的變更
將在未來版本中移除下列項目:
- Web 服務、關鍵少數和開發人員錦囊測試原則將遭到移除,因為現在使用其他原則可以達成類似的結果。如需相關資訊,請參閱預先定義的測試原則。
- Internet Explorer (IE) 瀏覽器支援將會移除。