新增功能

本節說明此版本中的新AppScan Standard產品功能和加強功能,以及相關的淘汰和預期變更。

歡迎使用全新的 AppScan Standard

  • 隆重推出全新的使用者體驗

    全新的外觀、經過改良的工作流程、更好的指引、更容易進行疑難排解

  • 快速且清楚的掃描評估

    新的儀表板會收集重要的掃描資訊,包括掃描性能和結果摘要

  • 新的深色模式

    選擇最適合您的模式(淺色或深色)

HCL AppScan Standard 10.0.7 中的新功能

  • 經過改良的全新使用者體驗:
    • 用來啟動掃描的全新首頁
    • 畫面左側的導覽列可讓您快速存取工作流程中的主要步驟
    • 儀表板會收集重要的掃描資料,並在掃描執行時即時更新
    • 「問題」和「作業」視圖會合併成新的「問題」視圖
    • 響應式 UI 設計
    • 重新設計的掃描日誌。
    • 重新設計的選項對話方塊(工具 > 選項)
    • 選取您的工作喜好設定:淺色模式或新的深色模式
    請參閱這裡的實際變更要點。
  • OS 支援:Windows Server 2022(Enterprise 和 Pro)和 Windows 11
  • 支援 TLS 1.3(僅適用於兩個新的作業系統)
  • MFA:支援 TOTP 及 URL 產生的 OTP(請參閱設定 OTP
  • 將安全問題匯出為 CSV 格式(請參閱匯出至 CSV
  • 新的業界標準報告:
    • 「CWE/SANS 前 25 大最危險的錯誤」已替換為「CWE 前 25 大最危險的軟體弱點 2021」
    • 「OWASP 前 10 大 - 2021」

修正和安全更新

此版本中的新安全規則包括:
  • attApacheHttpPathTraversalUnix - Apache HTTP Server 中的路徑遍訪漏洞 (CVE-2021-41773)
  • attZencartRemoteCommandExecutionAdns - ZenCart 上鑑別的 RCE (CVE-2021-3291)
  • attApacheHttpPathTraversalUnix - Apache HTTP Server 路徑遍訪和 RCE (CVE-2021-42013)
  • attAPIBrokenFunctionLevelAuthorization - 中斷功能層次授權的 API 安全規則(透過其他 HTTP 方法確認原始要求)
  • attConfluenceRemoteCommandExecutionAdns - 使用 ADNS 的 Confluence Server Webwork OGNL 注入 (CVE-2021-26084)
  • attAPIMassAssignment - 大量指派的 API 安全規則(包含管理參數/物件的要求,並取得存取權)
  • attAPILackResourcesRateLimit - 缺少資源和速率限制的 API 安全規則(針對要求參數設定較大的值,讓伺服器有壓力)
  • attCSRFinGraphQL - 偵測 GraphQL 端點中的 CSRF 漏洞
  • attCSPInjection - 偵測網站是否容易遭到 CSP 政策注入的攻擊
  • attAPIImproperAssetsManagement - ImproperAssets 管理的 API 安全規則(要求不要洩漏路徑)
  • attAPIImproperAssetsManagementDomain - ImproperAssets 管理的 API 安全規則(要求不要洩漏網域)
  • attbootstrapXSS - 過期的引導規則偵測
如需此版本中修正程式、更新內容及 RFE 的完整清單,請參閱 AppScan Standard 修正程式清單

已在此版本中移除

  • Scan Expert

即將進行的變更

將在未來版本中移除下列項目:
  • 系統會移除「Web 服務」、「重要少數」和「開發人員基本資料」測試原則,因為現在可以使用其他原則來達成類似的結果(請參閱這裡
  • 舊版使用者介面可以在這個版本中存取,但是會在未來的版本中完全移除(請參閱這裡