Nouveautés

Bienvenue dans le nouvel AppScan Standard !

Une toute nouvelle expérience utilisateur
Nouvelle apparence, flux de travaux amélioré, meilleures instructions et auto-dépannage facilité
Evaluation d'examen rapide et claire
Le nouveau tableau de bord rassemble les informations d'examen essentielles, y compris l'état de l'examen et le récapitulatif des résultats
Nouveau mode sombre
Choisissez le mode (clair ou sombre) qui vous convient le mieux.

Nouveautés dans HCL AppScan Standard 10.0.7

Nouvelle expérience utilisateur améliorée :
- Nouvelle page d'accueil pour démarrer vos examens
- La barre de navigation sur la gauche de l'écran vous permet d'accéder rapidement aux principales étapes de votre flux de travaux
- Le tableau de bord rassemble les données d'examen essentielles et se met à jour en temps réel au fur et à mesure de l'examen
- Les vues Problèmes et Tâches sont regroupées dans la nouvelle vue Problèmes
- Conception d'interface utilisateur réactive
- Journal d'examen remanié
- Boîte de dialogue Options remaniée (Outils > Options)
- Sélectionnez votre préférence de travail pour le mode clair ou le nouveau mode sombre
Consultez les points forts des modifications pratiques ici.
Prise en charge de système d'exploitation : Windows Server 2022 (Enterprise et Pro) et Windows 11
TLS 1.3 est pris en charge (pour les deux nouveaux systèmes d'exploitation uniquement)
AMF : Prise en charge des mots de passe à usage unique et à durée limitée et des mots de passe à usage unique générés par URL (voir Configurer le mot de passe à usage unique)
Exportez les problèmes de sécurité au format CSV (voir Exporter vers CSV)
Nouveaux rapports sur les normes de l'industrie :
- « CWE/SANS Top 25 Most Dangerous Errors » a été remplacé par « CWE Top 25 Most Dangerous Software Weaknesses 2021 »
- « OWASP TOP 10 - 2021 »

Correctifs et mises à jour de sécurité

Les nouvelles règles de sécurité de cette version sont les suivantes :

attApacheHttpPathTraversalUnix - Vulnérabilité à la traversée de chemin dans Apache HTTP Server (CVE-2021-41773)
attZencartRemoteCommandExecutionAdns - Exécution de code à distance authentifié sur ZenCart (CVE-2021-3291)
attApacheHttpPathTraversalUnix - Traversée de chemin Apache HTTP Server et exécution de code à distance (CVE-2021-42013)
attAPIBrokenFunctionLevelAuthorization - Règle de sécurité de l'API pour Violation de l'autorisation au niveau de la fonction (Vérifier avec la requête d’origine avec d'autres méthodes HTTP)
attConfluenceRemoteCommandExecutionAdns - Injection OGNL Webwork Server (CVE-2021-26084) à l'aide d'ADNS
attAPIMassAssignment - Règle de sécurité de l'API pour Attribution de masse (requête avec paramètres/objets admin et obtention de l'accès)
attAPILackResourcesRateLimit - Règle de sécurité de l'API pour le manque de ressources et la limitation de débit (définir des valeurs plus importantes pour les paramètres de requête, ce qui surcharge le serveur)
attCSRFinGraphQL - Détecter la vulnérabilité CSRF dans les points de terminaison GraphQL
attCSPInjection - Détecter si le site Web est vulnérable face à l'injection de stratégie CSP
attAPIImproperAssetsManagement - Règle de sécurité de l’API pour Mauvaise gestion des actifs (requête pour les chemins non exposés)
attAPIImproperAssetsManagementDomain - Règle de sécurité de l’API pour Mauvaise gestion des actifs (requête pour les domaines non exposés)
attbootstrapXSS - Détection de règle Bootstrap obsolète

Pour obtenir la liste complète des correctifs, des mises à jour et des RFE dans cette version, reportez-vous à liste de correctifs AppScan Standard.

Supprimé dans cette édition

Scan Expert

Modifications à venir

Les options suivantes seront supprimées dans une version future :

Les stratégies de test Services Web, Minimum indispensable et Fondamentaux du développeur seront supprimées, car des résultats similaires peuvent maintenant être obtenus à l'aide d'autres stratégies (voir ici)
L'ancienne interface utilisateur est accessible dans cette version, mais elle sera supprimée complètement dans une version ultérieure (voir ici)