常見問題
一些常見的問題。
一般
AppScan 360° 支援哪些 Kubernetes 平台?
AppScan 360° 不使用任何平台專屬功能,應可在所有平台上運作,但並非所有功能都經過驗證可以運作。AppScan 360° 已在下列 Kubernetes 平台上經確認可以運作:
- K0s
- K3s
- K8s
- OpenShift
- VMware
- Tanzu
如果您有額外的安全措施,便可能需要在配置中進行額外的檢查和修改。例如,OpenShift 尚有一些先決條件才能配合 AppScan 360° 使用。如需相關資訊,請參閱OpenShift 與 AppScan 360° 搭配使用的先決條件為何?
何謂 Harbor?怎麼使用?
HCL Harbor 是 HCL Software 的儲存器登錄系統。您可以從 Harbor 下載 Docker 映像檔(唯讀範本,其中包含執行 AppScan 360° 所需的應用程式碼、程式庫、工具和相依性)和 Helm 圖表(預先設定 Kubernetes 資源的套件,可簡化 AppScan 360° Kubernetes 叢集的部署與管理作業)。
- 移至
https://hclcr.io。 - 按一下「透過 OIDC 提供者登入」。
- 使用 HCL 認證登入。
- 選取。
「儲存庫」標籤包含最新的 AppScan 360° Docker 映像和 Helm 圖表,可供下載。
- 在
docker login hclcr.io輸入使用者名稱和密碼。 - 設定
docker/config.json檔案的環境變數:export HCLCR_USERNAME= export HCLCR_PASSWORD= - 設定 base64 編碼的環境變數:
export AS360_KNI_JSON_CONFIG_AS_BASE64=""
AppScan 360° Helm 儲存庫在哪裡?
AppScan 360° Helm 儲存庫託管於公開的 GitHub 伺服器 https://github.com/HCL-TECH-SOFTWARE。您可以從這個位置複製適當的儲存庫。
我的掃描為什麼會失敗?
- 無效的應用程式檔案
- 您選取的「測試集」不適用於您的網站/應用程式
- AppScan 中央平台 無法正常運作或完全無法運作
如果可以避免這些問題,您的掃描就更能快速自動完成。將 AppScan 360° 掃描併入自動化程序這點特別重要,能夠盡可能縮短掃描時間。
掃描要多久才能完成?
視應用程式大小及複雜性而定,會需要從幾分鐘到更長時間。您可以選擇在掃描完成時接收電子郵件。AppScan 360° 會測試哪些安全問題?
- AppDOS
- 瀏覽器快取機密性資訊
- 註解顯示機密性資訊
- 配置問題
- 跨網站 Scripting (XSS)
- DB 連線字串操作
- 電子郵件網路釣魚
- 電子郵件篡改
- 需要編碼
- 公開 Web 服務
- 檔案篡改
- 檔案上傳
- 分割 HTTP 要求
- 分割 HTTP 回應
- LDAP 注入
- 開放式重新導向
- OS 指令注入
- 路徑遍訪潛在商業邏輯問題(亦涵蓋不安全直接物件參照)
- 專用權升級
- RegEx 注入
- 移除測試碼
- SecondOrder 注入
- 機密資料曝光
- 機密資料儲存在日誌中
- 機密性資訊顯示在錯誤訊息中
- 階段作業管理逾時值太大
- SQL 注入
- 未加密通訊
- URL 篡改
- 使用加密不安全亂數產生器
- 使用隱藏欄位
- 使用不安全加密法演算法
- 使用不安全原生程式碼
- 低強度存取控制
- 低強度鑑別
- XML 注入
- XPath 注入
- XSLT 注入
為何我的應用程式風險評級為「不明」?
- 找到的問題(由 AppScan 360°)
- 業務衝擊(由使用者指派)
DAST
為什麼我無法再將環境指定為「暫置」或「正式作業」?
- 在 「探索」>「自動表單填入」中,清除核取方塊以停用此選項。
- 在「通訊」>「最大要求率」中,預設值對於大多數正式作業網站應該沒問題,但您可以考慮減少每秒允許的最大要求數,以減少網站流量。
如需更多詳細資料和建議,請參閱下一節。
掃描即時正式作業網站時,我應該進行哪些變更?
如果可能,建議您在暫置網站上執行 DAST 掃描,而不是在正式作業網站上執行。在即時正式作業網站上執行 DAST 掃描可能會影響網站穩定性。必要時,考量下列幾點可協助您有效配置正式作業網站掃描。
資料庫可能充滿掃描期間傳送的人工資訊
- 在「探索」>「自動表單填入」中清除核取方塊。
這可確保 AppScan 360° 不會自動填寫表單而提交可能會塞爆資料庫、公佈欄或線上討論區系統的資料,也不會將不想要的電子郵件傳至管理員或控管者的帳戶。不過,您應該知道,這麼做將限制 AppScan 360° 到達網站區域(藉由提交表單來存取)的能力。在這個作業模式中,AppScan 360° 只會掃描遵循連結(包含或不含參數)所能存取的網站區域。
- 在「通訊」>「最大要求率」中,請考慮減少每秒允許的最大要求數。
- 建立測試帳戶。使用測試帳戶可使資料庫變更的追蹤更加容易(例如,確保不會實際訂購服務),以及協助網站管理者在掃描之後清除網站。建立帳戶時,請考慮執行下列部分或全部操作:
- 限制從資料庫中只能存取測試記錄,以便還原修改過的記錄。
- 確定將會刪除測試帳戶所建立的新記錄。
- 確定將會忽略測試帳戶的採購單(或其他交易)。
- 如果交易具有影響力(例如處理股票時),請只允許帳戶存取測試記錄。
- 如果網站有討論區,請只允許測試帳戶存取測試討論區,這樣一來真正的客戶才不會看到測試階段期間所建立的測試。
- 如果網站會針對不同的帳戶提供不同的專用權,請設定多個測試帳戶,賦予不同的專用權。這可確保能夠進行更全面的網站掃描。
- 請勿建立具有管理者層級存取權的測試帳戶。
電子郵件氾濫的風險
當測試使用電子郵件通知的頁面時,AppScan 360° 會產生許多要求,且可能使網站的電子郵件伺服器超載。如果可行,暫時變更所測試頁面上的電子郵件位址,以使電子郵件傳送到無效的電子郵件位址。
測試最佳化:如果它的掃描速度更快,為何我不應該一律使用它?
測試最佳化在您需要更快速的結果時很棒,但是不如非最佳化掃描一般的徹底。我們建議在速度很重要時使用最佳化掃描,但是您也可以在定期間隔以完整掃描來備份。
測試最佳化:我是否可以預期在相同網站上的兩個最佳化掃描結果完全相同?
因為我們的團隊會持續分析並更新設定,所以每次 AppScan 更新都會有改善的最佳化設定,因此即使網站未變更,結果也不一定會相同。不過,在相同的最佳化層次下,不太可能有稍早掃描中顯示出問題的測試,在稍後的掃描被過濾掉的情形發生。
OTP:如何識別 OTP HTTP 參數?
針對使用 OTP(一次性密碼)的 DAST 網站掃描,AppScan 需要知道包含 OTP 的參數名稱(以便能夠登入應用程式),並且通常會在驗證「已記錄的登入」時識別它。如果無法這樣做,或如果您使用自動登入而非已記錄的登入,則必須自行新增參數。
- 瀏覽至應用程式的登入頁面。
- 按一下 F12 以開啟瀏覽器的開發人員工具窗格(在主要瀏覽器窗格的右側或下方開啟)。
- 按一下「元素」標籤以檢視 HTML 程式碼。
選取程式碼的一部分時,會在主要瀏覽器窗格中強調顯示該元素。
- 尋找強調顯示 OTP 欄位的元素。範例:
<input type="text" name="OTPvalue" value=""> - name 參數的值(不含引號)是您需要的 OTP HTTP 參數。範例:
OTPvalue - 如果有多個 OTP HTTP 參數,請以逗點區隔它們。
DAST 掃描支援哪些通訊協定?
AppScan 360° 可以掃描需要 TLS 1.0、1.1、1.2 和 1.3 的應用程式。
AppScan 360° 支援連線至 AppScan 360° 服務的是哪個 TLS 通訊協定?
AppScan 360° 支援連線至服務的 TLS 1.2。
為什麼我的重新掃描中「中嚴重性」問題數量增加?
原本使用 DAST 引擎 v10.2.0 之前的版本執行重新掃描時,在重新掃描中發現的「中嚴重性」問題比原始掃描中更多。
從 AppScan DAST 引擎 10.2.0 版開始,CWE 問題嚴重性和 CVSS 評分是以 CVSS 3.1 版為基礎。使用舊版 DAST 引擎執行的掃描採用 CVSS 2.0 評分。一些在舊版中被指定為「低嚴重性」的問題在 10.2.0. 版中被指定為「中嚴重性」,導致「中嚴重性」問題增加。這會在未來的 DAST 引擎版本中進行變更。
SAST
何謂靜態分析 IRX 檔案以及它包含什麼內容?
IRX 是一個安全且加密的 zip 保存檔,其中包含執行程式完整靜態分析的必要資訊。在建立後待用及傳輸至雲端期間(透過 SSL)會進行加密。
IRX 保存檔在內部包含這些檔案和構件:
- 針對可部署的程式構件的專有及模糊呈現,這是從您已部署的原始碼(例如,Java 位元組碼或 .Net MSIL)所建置。如果要瞭解靜態分析掃描支援哪些語言,請參閱 靜態分析的系統需求。
- 所有與程式一同部署的執行時期指令碼檔案都可加以分析以找出安全漏洞(例如 .js (Javascript) 或 .rb (Ruby) 檔案)。
- Static Analyzer 配置檔,其中說明應用程式或專案階層以及程式的關係或相依關係。這可在應用程式內跨越專案界限進行精確且完整的安全分析。
- 在建立保存檔期間所產生的 Static Analyzer 日誌檔(用於診斷和支援)。