新增内容
本部分介绍此版本中的新增AppScan Standard产品功能和增强功能,以及相关弃用和预期变更。
HCL AppScan Standard 10.5.0 中的新增功能
- 重新设计了 AppScan Connect - AppScan Enterprise 界面,允许立即或延迟执行扫描,并能够选择扫描方法。
- 能够轻松地将测试策略中的完整测试列表(不包括变体)导出到 CSV 文件,而不考虑是否启用了测试。
- “问题”视图中的高级搜索:通过在请求/响应或“问题”表中搜索特定字符串,轻松导航浏览数据。
- 添加了新的测试策略:
- OWASP 前 10 大 API 安全风险 – 2023
- OWASP Top 10 – 2021
- 更新的合规性报告:
- OWASP API Security Top 10 2023
- [US] DISA's Application Security and Development STIG。V5R3
- 2023 年 CWE Top 25 最危险的软件漏洞
- 支付卡行业数据安全标准 (PCI DSS) - V4
- 重构了错误页面:现在,您可以定义字符串和正则表达式,以标识响应内容和/或路径中的错误页面。
修复和安全更新
此发行版中的新安全规则包括:
- postMessageInfoLeak - postMessage() - 已添加以检测可能的信息泄漏
- WordPressQEMPluginXSSCVE202323491 - 已添加用于 CVE-2023-23491 检测
- attApacheStrutsCVE20190230RCEOGNL - 为 RCE 添加了定制的网络服务器检测支持
- attAPIBrokenObjectLevelAuthorizationPath - 为“失效的对象级别授权”添加了路径变体
- 易受攻击的组件数据库已更新到版本 1.3
有关此发行版中的修复以及新的已更新安全规则的完整列表,请参阅 AppScan Standard 修复列表。
已在此发行版中更改
- 已删除嵌入式 Internet Explorer 浏览器。
- 对于 V9.0.3.1 之前的 AppScan Enterprise 版本,已删除以 XML 格式导出扫描结果的功能。
- 在 AppScan CMD 中,不支持“xml_report”格式。您可以改用“xml”报告格式。
即将推出的变更
- “删除问题”功能可通过问题列表访问,方法是右键单击或使用上下文菜单或通过“编辑”菜单。但是,从下一个发行版开始,将不再提供删除问题的功能。