新增功能

本部分介绍此版本中的新增AppScan Standard产品功能和增强功能,以及相关弃用和预期变更。

欢迎使用新的 AppScan Standard

  • 引入全新的用户体验

    全新的外观、改进的工作流程、更好的指导和更简单的自我故障诊断

  • 快速清晰的扫描评估

    新仪表板会收集基本扫描信息,包括扫描运行状况和结果摘要

  • 新的深色模式

    选择最适合您的模式(浅色或深色)

HCL AppScan Standard 10.0.7 中的新增功能

  • 新的用户体验和改善的用户体验:
    • 启动扫描的新主页
    • 屏幕左侧的导航栏使您可以快速访问工作流程中的主步骤
    • 仪表板将基本扫描数据收集在一起,在扫描运行时实时更新
    • “问题”和“任务”视图合并为新的“问题”视图
    • 自适应用户界面设计
    • 重新设计的扫描日志。
    • “重新设计的选项”对话框(工具 > 选项)
    • 选择您的工作首选项,浅色模式或新的深色模式
    请参阅此处实际更改的亮点。
  • 操作系统支持:Windows Server 2022(Enterprise 和 Pro)和 Windows 11
  • 支持 TLS 1.3(仅适用于两个新的操作系统)
  • MFA:支持 TOTP 和 URL 生成的 OTP(请参阅配置 OTP
  • 将安全问题导出为 CSV 格式(请参阅导出为 CSV
  • 新行业标准报告:
    • “CWE/SANS 最危险的 25 个错误”已替换为“CWE 2021 年最危险的 25 个软件弱点”
    • “OWASP TOP 10 - 2021”

修复和安全更新

此发行版中的新安全规则包括:
  • attApacheHttpPathTraversalUnix - Apache HTTP Server 中的路径遍历漏洞 (CVE-2021-41773)
  • attZencartRemoteCommandExecutionAdns - ZenCart 上的认证 RCE (CVE-2021-3291)
  • 41attApacheHttpPathTraversalUnix - Apache HTTP Server 路径遍历和 RCE (CVE-2021-42013)
  • attAPIBrokenFunctionLevelAuthorization - 关于中断功能级别授权的 API 安全性规则(使用其他 HTTP 方法检查原始请求)
  • attConfluenceRemoteCommandExecutionAdns - 使用 ADNS 的 Confluence Server Webwork OGNL 注入 (CVE-2021-26084)
  • attAPIMassAssignment - 关于批量分配的 API 安全性规则(请求管理员参数/对象并获取访问权)
  • attAPILackResourcesRateLimit - 关于资源缺乏和速率限制的 API 安全性规则(为请求参数设置较大的值,这会使服务器承受压力)
  • attCSRFinGraphQL - 检测 GraphQL 端点中的 CSRF 漏洞
  • attCSPInjection - 检测网站是否易受 CSP 策略注入攻击
  • attAPIImproperAssetsManagement - 关于不当资产管理的 API 安全性规则(针对未公开路径的请求)
  • attAPIImproperAssetsManagementDomain - 关于不当资产管理的 API 安全性规则(针对未公开域的请求)
  • attbootstrapXSS - 过时引导程序规则检测
有关此发行版中修订、更新和 RFE 的完整列表,请参阅 AppScan Standard 修订列表

在此版本中删除

  • 扫描专家

即将推出的变更

以下功能将在将来的版本中删除:
  • Web 服务、“关键的少数”和“开发者精要”测试策略将被删除,因为现在可以使用其他策略实现类似的结果(请参阅此处
  • 在此发行版中可访问旧用户界面,但在将来的发行版中将彻底删除旧用户界面(请参阅此处