Problèmes connus et solutions de contournement

Voici les problèmes connus et leurs solutions de contournement.

Tableau 1. Problèmes connus et solutions de contournement
Problème Solution de contournement

S'il y a plus de 500 problèmes dans chaque catégorie lorsque vous utilisez l'option « Regrouper par » basée sur IssueType, Severity, Scanner ou Status, nous n'affichons pas les problèmes supplémentaires et conseillons d'utiliser un filtre à la place. Les filtres sont également limités à l'affichage d'un maximum de 100 valeurs pour chaque type de colonne.

 Supprimez l'option « Regrouper par », puis triez les données en fonction du type de colonne que vous souhaitez utiliser pour afficher les résultats.
Les détails de la vue des composants ne peuvent pas être exportés ou importés à partir d'AppScan Enterprise ou d'AppScan Standard. Cependant, les composants vulnérables peuvent être exportés ou importés en tant que problèmes. N/D
Les rapports de sécurité (xls, excel, xml ou PDF) n'afficheront aucun détail des composants. N/D
L'exécution de l'assistant de configuration est le seul moyen de mettre à jour les enregistrements CVE. Les nouveaux CVE introduits après l'installation d'AppScan Enterprise ne seront pas identifiés pour les composants vulnérables. N/D
Dans le journal d'activité, le filtre de date affiche les données pour un jour supplémentaire par rapport à la plage de dates spécifiée. N/D
Le calcul des retards n'est pas effectué pour les problèmes qui n'ont pas d'attributs CVSS 3.1. N/D
Pour tous les problèmes qui ont été analysés dans la version 10.1.0 ou antérieure et associés à une application, le filtre CVSS Version = 2.0 peut afficher à la fois les problèmes CVSS 2.0 et 3.1. Vous pouvez trier les problèmes en fonction de la colonne CVSS Version qui liste d'abord tous les problèmes CVSS 2.0 en fonction de la version.

L'agent IAST .NET peut échouer à s'installer en tant que NuGet dans certaines applications du framework .NET, avec une erreur « Unable to resolve dependency 'MonoModReorg.RuntimeDetour' ».

Avant d'installer l'agent IAST, installez le NuGet : 'MonoModReorg.RuntimeDetour', version 22.11.21-prerelease.2. Assurez-vous que la case de pré-version dans l'onglet NuGet de Visual Studio est cochée. Vous pouvez maintenant installer l'agent IAST en tant que NuGet.
Impossible d'importer des groupes d'utilisateurs et d'enregistrer les propriétés des utilisateurs avec les valeurs correctes lorsque LDAP est configuré pour ASE, et lorsque l'analyseur et le serveur sont installés sur la même machine. Réexécutez l'assistant de configuration en sélectionnant tous les composants applicables (User Administration/Enterprise Console/IAST) dans la fenêtre des composants du serveur que vous aviez sélectionnés précédemment lors de la configuration du serveur, ainsi que l'analyseur d'analyse dynamique (Dynamic Analysis scanner).
Le problème IAST avec la gravité « Information » affiche la version CVSS comme 2.0 au lieu de 3.1. Ignorez la version affichée et considérez que la version est 3.1 puisque IAST est un analyseur AppScan Enterprise.
Les alertes d'état d'analyse ne sont pas envoyées à l'adresse électronique configurée. Redémarrez le service d'alerte.
Lorsque vous effectuez une mise à niveau de la version 10.0.8 vers la version 10.1.0, le déploiement ou la connectivité de l'agent IAST java war échoue et il n'interagit pas avec AppScan Enterprise. Désactivez puis réactivez l'agent.
La réimportation de problèmes avec les profils d'analyseur Appscan Mobile Analyzer et AppScan Mobile Analyzer IOS entraîne une erreur. Actualisez l'onglet de surveillance.
Le re-test d'un problème peut faire en sorte que le statut du problème soit signalé comme « Corrigé » (Fixed) même si le problème n'est pas réellement corrigé. Si votre site requiert une authentification, vous devez obligatoirement configurer la connexion au niveau de l'analyse pour que le re-test fournisse un statut de re-test correct.
Le re-test du type de problème « Remote Command Execution on Spring MVC (CVE-2022-22965) » peut faire en sorte que le statut du problème soit signalé comme « Corrigé » (Fixed) au lieu de « Rouvert » (Reopened), même si le problème n'est pas réellement corrigé. Il est recommandé d'exécuter une analyse complète de l'application pour confirmer si ce type de problème est corrigé.
Dans l'onglet de surveillance, les détails du problème ne s'affichent pas lorsque vous cliquez sur un problème. À la place, le message d'erreur « CRWAS9999E An unknown error has occurred. » s'affiche. Ce problème survient si le contenu textuel des détails du problème est volumineux. Accédez à <Rép d'installation ASE>\AppScan Enterprise\Liberty\usr\servers\<instance de serveur> et ajoutez la ligne -Xss1024m à jvm.options, puis redémarrez le service « HCL AppScan Enterprise Server ».
Le service de l'agent affiche le statut « Vérifier la licence » (Check License). Redémarrez « HCL AppScan Agent Service » sur la machine de l'analyseur.

Pour le proxy DAST, l'état « En session » (In-session) n'est pas détecté automatiquement lorsque le trafic est enregistré à l'aide du navigateur Firefox.

 Ajoutez l'état « En session » manuellement en sélectionnant l'URL de la page principale et en cliquant sur le bouton En session, ou avant d'enregistrer le trafic, désactivez tout module complémentaire Firefox qui génère beaucoup de trafic, par exemple, Clockify.
Suppression d'OWASP 2017 et prise en charge du rapport OWASP 2021 : Tous les packs de rapports et modèles de packs de rapports créés avant la version 10.0.7 contiendront le rapport OWASP 2017. Si nécessaire, les utilisateurs doivent supprimer manuellement OWASP Top 10 2017 et ajouter OWASP Top 10 2021 au pack de rapports pour toutes les analyses existantes, puis exécuter le pack de rapports.
Sur la page de l'agent IAST, vous pouvez rencontrer certains problèmes d'interface utilisateur, comme suit :
Lorsque vous cliquez sur le bouton Générer la clé dans le menu déroulant Actions, il n'y a aucune réponse. Actualisez la page et réessayez.
Dans la fenêtre contextuelle de génération de clé, lorsque vous cliquez sur le bouton Générer, il n'y a aucune réponse. Ne cliquez pas plusieurs fois. Attendez environ une minute et s'il n'y a toujours pas de réponse, fermez la fenêtre contextuelle et réessayez.
Lorsque vous régénérez la clé pour l'agent Node.js, la taille du package peut augmenter. Cela peut être ignoré car cela fonctionne dans la majorité des cas.
Si l'agent Node.js téléchargé ne possède pas la clé d'agent appropriée. Régénérez la clé de l'agent et téléchargez-le à nouveau.
Pour les problèmes SAST, lorsqu'un travail importé est exécuté dans l'onglet Analyses, il génère désormais des noms conviviaux pour les problèmes courants. L'onglet de surveillance (Monitor) continue d'utiliser l'ancien format de l'ID, par souci de cohérence avec les versions précédentes, et sera mis à jour à l'avenir avec le nom convivial. De ce fait, si vous utilisez la même application pour importer des données sources directement dans l'onglet de surveillance, et que vous liez la même application à un travail d'importation de source exécuté dans l'onglet Analyses, vous remarquerez peut-être que certains problèmes sont classés sous différents types de problèmes (tels que Injection SQL, Cross Site Scripting). Si vous importez plusieurs problèmes SAST dans AppScan Enterprise, il est recommandé d'utiliser le même mécanisme pour tous : soit importer toutes les analyses dans l'onglet de surveillance, soit exécuter tous les travaux en tant que travaux d'importation dans l'onglet Analyses et les lier à l'application. Il n'y a aucun impact sur les fonctionnalités ; ce problème n'affecte que l'affichage.
Lorsque la langue de l'interface utilisateur d'AppScan Enterprise est définie sur une langue autre que l'anglais, les problèmes suivants peuvent être observés :
  • Dans la page de surveillance, lors de la navigation vers la page « À propos du problème » d'un problème d'analyse, les informations de raisonnement (Reasoning) sont toujours affichées en anglais.
  • Lorsque la langue de l'interface utilisateur est définie sur Espagnol (Espanola), le lien de l'API de référence et le contenu du rapport « Comment corriger » s'affichent en anglais.
  • Lorsque vous sélectionnez une langue différente et exportez des problèmes depuis l'onglet de surveillance, le nom de l'IssueType s'affiche en anglais.
  • Lors du passage à une langue différente, la section Comment corriger (contenu dans un langage de programmation différent) dans l'onglet Analyses s'affiche dans la langue précédente.
  • Le fichier ase_plan.pdf et les fichiers Lisez-moi (Readme) ne sont pas traduits.
 Toute modification des paramètres de langue n'a aucun impact sur la fonctionnalité de l'interface utilisateur, si ce n'est que ces informations seront disponibles en anglais. Par conséquent, il est recommandé de continuer à utiliser la fonctionnalité jusqu'à ce que ces problèmes soient résolus dans les versions ultérieures.
Lorsqu'un utilisateur a configuré la fonction « Comment corriger » sur un port déjà utilisé, l'utilisateur ne verra pas de message d'erreur approprié dans l'interface utilisateur lorsqu'il tentera d'accéder aux détails du problème et au lien « Comment corriger ». Réexécutez l'assistant de configuration en pointant la fonction « Comment corriger » vers un port différent.
Si un utilisateur télécharge un fichier de Tests définis par l'utilisateur dans l'interface utilisateur d'ASE, un message d'erreur s'affichera : Error connecting to the Advisory service server. Le fichier UDT s'importera avec succès dans AppScan Enterprise. Mais l'utilisateur ne verra pas les informations « Comment corriger » des identifiants issueTypeIds UDT dans l'interface utilisateur OU les rapports.
Pour voir les informations XML « Comment corriger » pour les issueTypeIds UDT :
  1. Accédez au chemin de dossier <Rép d'installation ASE>\AppScan Enterprise\CustomAdvisory\advisories\archives, puis extrayez le fichier zip UDT IssueTypeName correspondant (Exemple : UserDefined_UDT1.zip).
  2. L'utilisateur peut voir le fichier xml Comment corriger/Informations de conseil (Exemple : UserDefined_UDT1.xml) dans le chemin de dossier <Rép d'installation ASE>\AppScan Enterprise\CustomAdvisory\advisories\archives\Advisories\en-US.
Lorsque vous modifiez un dossier à partir de la page de l'analyse sans apporter de modifications aux autorisations du dossier et que vous cliquez sur le bouton Enregistrer, cela crée une entrée dans la table ActivityLog avec l'action marquée comme 3. L'action 3 indique que le dossier a été modifié. Vous devez cliquer sur le bouton Annuler pour quitter la page si vous n'avez pas modifié les autorisations du dossier.
Le nom de domaine n'est pas exclu du fichier de trafic généré par l'outil Postman ou SoapUI via l'intégration du client ADAC (fichier au format .exd) à l'aide de l'API POST/jobs/{jobId}/dastconfig/updatetraffic/{action} Vous devez utiliser le fichier .dast, .config ou .har pour exclure le trafic d'un domaine du fichier de trafic.
Le travail d'analyse échoue lors de la modification des autorisations d'utilisateur du compte de service AppScan Enterprise sous Windows. Vous devez ajouter l'utilisateur du compte de service au groupe d'administrateurs Windows sur le serveur AppScan Enterprise et sur les machines de l'analyseur.
La restitution de la licence de l'analyseur HCL ne se produit pas immédiatement lorsque le processus du service AppScan Agent est arrêté via le Gestionnaire des tâches. Il faut environ 15 minutes pour que les licences soient libérées. Il est recommandé de démarrer et d'arrêter à nouveau l'agent via les services pour libérer les licences.
Si les utilisateurs ne sont pas déconnectés avant l'arrêt du serveur AppScan Enterprise, les sessions ouvertes peuvent empêcher la restitution des licences au pool. Ces licences restantes ne seront restituées qu'après 2 heures. Les utilisateurs doivent se déconnecter avant l'arrêt du serveur AppScan Enterprise.
Lors de l'installation d'AppScan Enterprise, l'installation de Visual C++ 2015 échoue si une version supérieure de Microsoft Visual C++ Redistributable 2017 est déjà installée sur le système, car l'application tente d'installer Visual C++ 2015 Redistributable sans vérifier si des versions plus récentes existent déjà sur le système. Désinstallez Visual C++ 2017 RC Redistributable, installez AppScan Enterprise, puis réinstallez Visual C++ 2017 Redistributable.
L'aide en ligne du produit est disponible dans toutes les langues, cependant les liens connexes ne sont disponibles qu'en japonais, français, chinois simplifié et chinois traditionnel. N/D.
Si la taille du fichier journal étendu est importante (supérieure à 2 Go), l'opération de téléchargement du fichier journal à partir du rapport récapitulatif de l'onglet Analyses peut parfois générer un fichier zip de 0 Ko. Dans ce cas, copiez le fichier depuis le répertoire des journaux (Logs) du serveur de l'agent AppScan Enterprise.
Lorsque vous modifiez une analyse dans le Client de configuration d'analyse dynamique, assurez-vous que l'analyse que vous modifiez n'est pas en cours d'exécution dans AppScan Enterprise ; sinon, la tâche pourrait être suspendue lors de la mise à jour de l'analyse. Sur la page Propriétés du travail du client, décochez la case Exécuter le travail dès que possible, puis cliquez sur Mettre à jour le travail.
Lorsqu'un travail d'analyse contient uniquement la connexion enregistrée (pas d'exploration manuelle ni d'URL de départ), l'analyse n'explorera pas les pages en dessous de celle-ci. Ajoutez au moins une URL à l'Exploration manuelle ou à l'URL de départ de la page Que vérifier.
Il existe un risque de dégradation des performances et de résultats faussement négatifs lorsque le pare-feu est déployé entre les agents et le site Web analysé. Le serveur AppScan Enterprise envoie des tests de sécurité que certains produits de pare-feu pourraient signaler comme une activité réseau suspecte.
Si les règles de normalisation définies par l'utilisateur génèrent une chaîne d'URL vide, il y a un risque que l'analyse ne se termine pas. Lorsque des règles de normalisation sont définies dans les propriétés du travail, il est important de s'assurer qu'elles génèrent une URL valide.
Si la gestion des problèmes a été effectuée sur les rapports, le rapport de résumé du pack de rapports sera désynchronisé par rapport aux données du rapport. Le pack de rapports doit être réexécuté pour synchroniser les nombres une fois les tâches de gestion des problèmes terminées.
Les rapports supprimés ne sont pas immédiatement retirés du tableau de bord. Le tableau de bord doit être réexécuté pour que la modification prenne effet.
Lors du tri des listes, l'ordre de classement peut ne pas fonctionner comme prévu pour les langues japonaise et chinoise. Les classements .NET et SQL sont utilisés, ainsi que les classements spécifiques aux paramètres régionaux, mais le produit n'est pas conforme à ICU.

La période d'interdiction (blackout) des travaux ADAC ne fonctionne pas pour les travaux créés avant la version 9.0.3.11 jusqu'à ce qu'une modification soit enregistrée sur le travail.

Cause première : Il y avait un problème dans l'application où l'URL de départ n'était pas mise à jour dans la base de données ASE pour un travail ADAC. Étant donné que la période d'interdiction lit le domaine à partir de la base de données ASE, cela empêchait la période d'interdiction de fonctionner pour les travaux ADAC. Comme l'URL de départ est stockée dans le fichier dast.config, les travaux existants devront être modifiés et enregistrés manuellement pour que l'URL soit stockée dans la base de données ASE.
  1. Modifiez un travail ADAC (créé avant la version 9.0.3.11).
  2. Effectuez une mise à jour du travail.
  3. La période d'interdiction doit fonctionner comme configuré (de la même manière que le travail d'analyse de contenu).

Après avoir exécuté une analyse dans AppScan Standard et exporté les résultats sous forme de fichier XML hérité pour une utilisation dans AppScan Enterprise, lors de l'utilisation de ce fichier XML, il a été exécuté en tant que travail importé. Celui-ci a ensuite été associé à une application dans AppScan Enterprise. Cependant, le rapport de sécurité généré n'inclut pas les URL visitées, malgré leur disponibilité dans le rapport d'origine d'AppScan Standard.

 N/D

Bien que les fichiers chiffrés d'AppScan Activity Recorder (AAR) puissent être importés à l'aide des API REST d'AppScan Enterprise, dans les travaux d'analyse de contenu, ils ne sont pas pris en charge si la tentative est effectuée directement via l'interface utilisateur d'AppScan Dynamic Analysis Client (ADAC).

 Méthode 1 : Utilisez les API REST d'AppScan pour l'importation de fichiers chiffrés :

Utilisez les API REST d'AppScan (POST /jobs/{jobId}/dastconfig/updatetraffic/{action}) pour importer des fichiers chiffrés. Cette méthode contourne les limites de l'interface utilisateur et permet des importations réussies dans AppScan-ADAC, permettant aux analyses de fonctionner correctement.

Méthode 2 : Envisagez d'autres méthodes d'enregistrement :

Pour les scénarios où des séquences de connexion chiffrées sont nécessaires, envisagez d'utiliser l'enregistrement ADAC au lieu de l'AAR lors de l'exécution de travaux ADAC. L'enregistrement ADAC pourrait offrir plus de flexibilité sans rencontrer les limitations liées au chiffrement observées avec les téléchargements AAR.
Dans AppScan Enterprise version 10.4.0, les rapports de sécurité générés aux formats PDF, HTML ou XML affichent la même cause générique pour chaque problème de composant vulnérable, quel que soit l'ID de la vulnérabilité CVE (Common Vulnerabilities and Exposures) spécifique qui y est associé. N/D
La mise à niveau d'ADAC v10.5.0 ou v10.5.1 vers une version plus récente directement depuis le serveur ASE échoue lorsque le certificat SSL sur le serveur ASE n'est pas valide (expiré, non approuvé). Cela se produit car ADAC 10.5.0 et 10.5.1 appliquent une sécurité plus stricte et bloquent les téléchargements avec des certificats non valides.

Le correctif pour ce problème est inclus dans la version 10.6 et les versions ultérieures d'ADAC. La mise à niveau vers ADAC 10.6 ou une version ultérieure résoudra le problème :

  1. Téléchargez la dernière version d'ADAC (10.6 ou ultérieure) à partir de FNO.
  2. Installez la version d'ADAC téléchargée sur la machine cible.
Remarque :
  • Cette solution de contournement ne s'applique qu'aux situations où le certificat SSL sur le serveur ASE n'est pas valide.
  • Les utilisateurs disposant de certificats SSL valides sur leurs serveurs ASE ne sont pas concernés par ce problème.
Lors de l'utilisation de Windows Server 2016 avec TLS 1.2, OLEDB ne fonctionne pas correctement. Ce problème empêche les utilisateurs de maintenir des connexions sécurisées avec TLS 1.2.

Pour résoudre ce problème, installez le client natif SQL sur la machine. Vous pouvez télécharger le client natif SQL à partir du lien suivant :

Télécharger le client natif SQL

Informations complémentaires :
  • Les utilisateurs peuvent revenir à la version TLS 1.1 à titre temporaire si la fonctionnalité OLEDB est requise sur Windows Server 2016.
  • Pour ceux qui préfèrent utiliser TLS 1.2, la mise à niveau vers Windows Server 2019 est recommandée.
Dans AppScan Enterprise v10.6.0, le vecteur CVSS (Common Vulnerability Scoring System) ne sera affiché qu'en anglais. Le vecteur ne sera pas visible pour les interfaces utilisateur dans une langue autre que l'anglais. N/D
Les analyses OpenAPI basées sur le modèle d'AppScan Standard ne sont pas prises en charge dans AppScan Enterprise. Créez des analyses OpenAPI dans AppScan Enterprise à partir d'AppScan Standard via AppScan Connect.
Dans le fichier d'exportation XLS, les sections « Gravité du problème (Max) par unité commerciale » et « Évaluation du risque de sécurité par unité commerciale » affichent tous les nombres d'applications filtrées pour chaque unité commerciale (BU) au lieu du nombre réel d'applications. N/D
Cliquer sur un lien dans le tableau de bord avec des données filtrées ne reporte pas le filtre sur l'onglet Portefeuille (Portfolio). Par conséquent, l'onglet Portefeuille affiche toutes les applications avec le statut correspondant, au lieu d'afficher uniquement les applications filtrées. Les utilisateurs doivent filtrer manuellement les applications à partir de la section de filtrage de l'onglet Portefeuille.
Les détails des problèmes SCA ne s'affichent pas lors de l'importation de problèmes SCA d'AppScan on Cloud vers AppScan Enterprise. Contactez le support de niveau 2 (L2) d'AppScan Enterprise pour recevoir le correctif.
Dans les rapports PDF, l'attribut Fichier : ou URL : est manquant. Cet attribut est également absent des fichiers XML exportés, ce qui fait qu'il n'est pas affiché dans les rapports PDF ou HTML. Ce problème est présent dans la version 10.6.0 d'AppScan Enterprise. Actuellement, il n'y a pas de correctif immédiat disponible. Des modifications au niveau du schéma sont nécessaires pour résoudre ce problème. Cependant, un nouvel analyseur pour l'analyse de composition logicielle (SCA) sera introduit dans la prochaine version, ce qui résoudra ce problème.
Les packs de rapports de travail DAST peuvent ne pas s'afficher correctement après leur achèvement. Actualisez la page et rouvrez le pack de rapports. Cela résout généralement le problème à la deuxième tentative.
Lors de la mise à niveau vers AppScan Enterprise v10.8.0 avec une base de données volumineuse, l'assistant de configuration peut prendre plus de temps que d'habitude pour se terminer en raison de la mise à niveau des modèles par défaut. Cependant, le processus se terminera avec succès de lui-même. Les nouvelles installations se déroulent dans les délais prévus. Aucune solution de contournement n'est disponible et un correctif est prévu pour une version future. N/D
Lorsqu'un nom d'application contient des caractères spéciaux, tels que « IAST-(InternalScan) », le nombre de problèmes dans l'onglet des agents IAST ne s'affiche pas correctement. Cela inclut l'absence de comptage des problèmes pour les différents niveaux de gravité, et d'autres détails liés à l'agent ne sont pas non plus affichés comme prévu. N/D
Parfois, lorsque le fichier de licence MHS est utilisé dans l'assistant de configuration du serveur, une erreur de validation de licence peut se produire. Cette erreur se produit lors de la tentative de configuration de composants tels que l'administration des utilisateurs, la console d'entreprise ou l'analyseur d'analyse dynamique. Cliquez sur le bouton Retour et revenez à l'écran de licence pour poursuivre la configuration.
Lors de l'utilisation du point de terminaison d'API get /license/decryptedData, le corps de la réponse affiche une date d'expiration null pour les licences perpétuelles. Il s'agit d'un problème car les licences perpétuelles ne devraient pas avoir de date d'expiration, mais l'API renvoie incorrectement null au lieu d'indiquer que l'expiration n'est pas applicable. N/D
Lors de la tentative de connexion au serveur AppScan Enterprise à l'aide de l'option de certificat côté client ou de carte à puce depuis le client d'analyse dynamique AppScan (ADAC) lancé indépendamment, la connexion échoue avec le message d'erreur :

Échec de la connexion au serveur AppScan Enterprise.

 Lancez l'ADAC à partir de la console de navigateur d'AppScan Enterprise au lieu de le lancer indépendamment.
Après la désinstallation d'AppScan Enterprise v10.9.1, vous ne pouvez pas supprimer certains fichiers et dossiers du répertoire d'installation, même avec des privilèges d'administrateur. Un message d'erreur indique que les fichiers sont en cours d'utilisation par le processus javawe.exe. Redémarrez la machine une fois la désinstallation terminée. Vous pourrez ensuite supprimer la structure de dossiers restante.
Les rapports PDF générés à partir de l'API Get/issues/{jobId} présentent les problèmes d'affichage suivants :
  • L'attribut de score CVSS apparaît sans score. Ce score n'est calculé que lorsqu'un problème est associé à une application sur la page de surveillance.
  • L'attribut URL affiche « N/D » au lieu d'être masqué. Le nom du rapport, la description du rapport et les attributs du problème ne sont pas traduits.
  • Ils apparaissent toujours en anglais, quelle que soit la langue sélectionnée dans l'interface utilisateur.
 N/D
Lors d'une mise à niveau sur Windows Server 2019, l'assistant de configuration peut échouer avec une erreur d'initialisation de la machine virtuelle Java (JVM) (JVMJ9VM013W) et arrêter la mise à niveau. Ce problème survient si le service du serveur AppScan Enterprise ou les processus de l'analyseur d'analyse dynamique cessent de répondre et que le programme d'installation ne parvient pas à les arrêter. Pour résoudre ce problème :
  1. Annulez la mise à niveau.
  2. Redémarrez les serveurs Windows Server 2019 qui hébergent le serveur AppScan Enterprise et les analyseurs d'analyse dynamique.
  3. Redémarrez la mise à niveau.
Lorsque vous transférez une analyse contenant un contrôle d'accès rompu et des fichiers non authentifiés d'AppScan Standard vers AppScan Enterprise, les vulnérabilités signalées peuvent ne pas correspondre à l'analyse d'origine. Par exemple, la vulnérabilité « Contrôle d'accès rompu via un utilisateur sous-privilégié » peut être manquante, ou des problèmes non authentifiés inattendus peuvent apparaître. Cet écart se produit généralement en raison de différences dans les données d'exploration entre les deux produits ou d'erreurs de serveur temporaires (telles que HTTP 500) pendant l'analyse d'AppScan Enterprise.

Pour résoudre ce problème :

  1. Vérifiez les journaux de trafic d'AppScan Enterprise à la recherche d'erreurs de serveur.
  2. Exécutez à nouveau l'analyse si nécessaire.
Si vous effectuez un re-test sur un seul problème pour une vulnérabilité de « Contrôle d'accès rompu via un utilisateur sous-privilégié », le problème disparaît du rapport une fois le re-test terminé, même si la vulnérabilité n'est pas corrigée. N'utilisez pas la fonctionnalité de re-test d'un problème unique pour cette vulnérabilité. Au lieu de cela, exécutez une analyse complète de l'application pour vérifier si la vulnérabilité du contrôle d'accès rompu est résolue.
Le rapport de sécurité généré à partir de la page de surveillance peut afficher le vecteur CVSS 4.0 deux fois pour certains types de problèmes. Cela se produit par intermittence dans tous les formats de rapport pris en charge (HTML, PDF, XML et Excel). N/D
Pendant la phase de post-traitement, les analyses peuvent être suspendues de manière inattendue et afficher le message d'erreur : Suspendu (Erreur inconnue : Erreur SQL dynamique Code d'erreur SQL = -303 Chaîne mal formée). N/D
Vous pourriez voir un message Une erreur s'est produite. Réessayez lorsque vous générez des rapports à l'aide de l'exportation au format PDF ou des problèmes de sécurité détaillés au format PDF à partir de la vue Analyses. N/D