已知问题和变通方法

以下是已知问题及其变通方法。

Table 1. 已知问题和变通方法
问题 变通方法

如果在根据 <uicontrol>IssueType</uicontrol>、<uicontrol>Severity</uicontrol>、<uicontrol>Scanner</uicontrol> 或 <uicontrol>Status</uicontrol> “<uicontrol>Group by</uicontrol>” 问题时,每个类别中有超过 500 个问题,我们不会显示其他问题,并建议使用过滤器。过滤器也仅限于每种列类型最多显示 100 个值。

 删除 “<uicontrol>Group by</uicontrol>” 选项,然后根据要用于显示结果的列类型对数据进行排序。
组件视图详细信息无法从 <uicontrol>AppScan Enterprise</uicontrol> 或 <uicontrol>AppScan Standard</uicontrol> 导出或导入。但是,易受攻击的组件可以作为问题导出或导入。 不适用
<uicontrol>Security Reports</uicontrol> (xls, excel, xml 或 PDF) 不会显示任何组件详细信息。 不适用
运行配置向导是更新 CVE 记录的唯一方法。在安装 <uicontrol>AppScan Enterprise</uicontrol> 后引入的新 CVE 将不会被识别为易受攻击的组件。 不适用
在 <uicontrol>Activity log</uicontrol> 中,<uicontrol>Date Filter</uicontrol> 显示的数据比指定的日期范围多一天。 不适用
对于没有 CVSS 3.1 属性的问题,不会进行逾期计算 不适用
对于在版本 10.1.0 或更早版本中扫描并与应用程序关联的所有问题,<uicontrol>CVSS Version = 2.0</uicontrol> 过滤器可能会显示 CVSS 2.0 和 3.1 问题。 您可以根据列 <uicontrol>CVSS Version</uicontrol> 对问题进行排序,该列首先列出所有 CVSS 2.0 问题。

<uicontrol>IAST .NET agent</uicontrol> 可能无法作为 <uicontrol>NuGet</uicontrol> 安装在某些 .NET 框架应用程序中,并出现错误 “无法解析依赖项 ‘<uicontrol>MonoModReorg.RuntimeDetour</uicontrol>’”。

在安装IAST代理之前,先安装NuGet:'MonoModReorg.RuntimeDetour',版本22.11.21-prerelease.2。确保在Visual Studio的NuGet选项卡中选中预发布复选框。现在可以将IAST代理作为NuGet安装。
当LDAP配置为ASE,并且扫描器和服务器安装在同一台机器上时,无法导入用户组并保存用户属性为正确的值 通过在服务器组件窗口中选择所有适用的组件(用户管理/企业控制台/IAST)以及动态分析扫描器,重新运行配置向导。
IAST问题的严重性为'信息'时,显示的CVSS版本为2.0而不是3.1。 忽略显示的版本,并将版本视为3.1,因为IAST是一个AppScan Enterprise扫描器。
扫描状态警报没有发送到配置的电子邮件地址。 重新启动警报服务。
从 10.0.8 升级到 10.1.0 时,IAST Java war 代理程序部署或连接会失败,并且它不与 AppScan Enterprise 交互。 先禁用然后再次启用该代理程序。
重新导入 Appscan Mobile Analyzer 和 AppScan Mobile Analyzer IOS 扫描程序概要文件问题会导致错误。 刷新“监控”选项卡。
重新测试某个问题可能导致问题状态被报告为“已修复”,即使问题实际上未修复也是如此。 如果站点需要认证,那么您必须在扫描级别设置强制登录,才能让“重新测试”提供正确的重新测试状态。
重新测试问题类型“Spring MVC 上的远程命令执行 (CVE-2022-22965)”可能导致问题状态被报告为“已修复”而不是“已重新打开”,即使问题实际上未修复也是如此。 建议对应用程序运行完全扫描,以确认此问题类型是否已修复。
在“监控”选项卡中,单击问题时不会显示问题详细信息,而是显示错误消息“CRWAS9999E 发生了未知错误”。如果问题详细信息的文本内容较多,就会出现此问题。 浏览至 <ASE 安装目录>\AppScan Enterprise\Liberty\usr\servers\<服务器实例>,将 -Xss1024m 这一行添加到 jvm.options 中,然后重新启动“HCL AppScan Enterprise Server”服务。
代理进程服务显示“检查许可证”状态。 在扫描程序机器上重新启动“HCL AppScan Agent 服务”。

对于 DAST 代理,当使用 Firefox 浏览器记录流量时,不会自动检测会话中。

 通过选择主页 URL 并单击会话中按钮手动添加会话中,或在记录流量之前,关闭任何会产生大量流量的 Firefox 插件,例如 Clockify。
移除OWASP 2017并支持OWASP 2021报告:所有在10.0.7之前创建的报告包和报告包模板将包含OWASP 2017报告。 如果需要,用户必须手动移除 OWASP Top 10 2017,并将 OWASP Top 10 2021 添加到所有现有扫描的报告包,同时运行报告包。
在“IAST 代理程序”页面中,您可能会遇到一些 UI 故障,如下所示:
单击操作下拉列表中的生成密钥按钮时,没有响应。 请刷新页面并重试。
在生成密钥弹出窗口中,当您单击生成按钮时,没有响应。 请勿多次单击。等待大约一分钟,如果仍没有响应,请关闭弹出窗口并重试。
重新生成 Node.js 代理程序密钥时,包大小可能会增加。 这一点可以忽略,因为它在大多数情况下都有效。
如果下载的 Node.js 代理程序没有相应的代理程序密钥。 重新生成代理程序密钥并再次下载代理程序。
对于 SAST 问题,在“扫描”选项卡中运行导入的作业时,它现在为常见问题生成用户友好的名称。“监控”选项卡继续使用旧格式的标识,以与之前的发行版保持一致,并且以后将使用用户友好名称进行更新。因此,如果使用同一应用程序将源数据直接导入“监控”选项卡,并且将同一应用程序链接到“扫描”选项卡中运行的源导入作业,那么您可能会注意到不同问题类型下分类的一些问题(例如 SQL 注入和跨站点脚本编制)。 如果将多个SAST问题导入到AppScan Enterprise,建议对所有问题使用相同的机制:要么在监视选项卡中导入所有扫描,要么在扫描选项卡中将所有作业作为导入作业运行并链接到应用程序。对功能没有影响;此问题仅影响显示。
当 AppScan Enterprise UI 语言设置为除英语外的其他语言时,可能会发生以下问题:
  • 在“监控”页面中,浏览至扫描问题的“关于问题”页面时,“原因”信息始终以英语显示。
  • 当 UI 语言设置为 Espanola(西班牙语)时,会以英语显示“参考 API”链接和“修复方法”报告内容。
  • 从“监控”选项卡中选择其他语言并导出问题时,IssueType 名称将以英语显示。
  • 切换到另一种语言时,“扫描”选项卡中的修复方法(不同编程语言内容)将以先前语言显示。
  • ase_plan.pdf 和自述文件未翻译。
 任何语言设置更改都不会对 UI 功能产生任何影响,但此信息将以英语提供。因此,建议继续使用该功能,直到这些问题在后续发行版中得到解决为止。
如果用户已为使用中的端口配置“修复方法”,则用户在尝试访问“问题”详细信息和访问“修复方法”链接时,将不会在 UI 中看到相应的错误消息。 重新运行配置向导,将“修复方法”指向另一个端口。
如果用户在ASE UI中上传用户定义的测试文件,则会显示错误消息:连接到咨询服务服务器时出错 UDT 文件将成功导入到 AppScan Enterprise,但是用户在 UI 或报告中看不到 UDT issueTypeIds“修复方法”信息。
要查看 UDT issueTypeIds 的“修复方法”xml 信息,请执行以下操作:
  1. 导航到 <ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives 文件夹路径,然后解压相应的 UDT IssueTypeName 压缩文件(例如:UserDefined_UDT1.zip)。
  2. 用户可以在 <ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives\Advisories\en-US 文件夹路径中查看 How To Fix/Advisory information xml(例如:UserDefined_UDT1.xml)文件。
当您从扫描页面编辑文件夹而不更改文件夹的权限并单击保存按钮时,它会在 ActivityLog 表中创建一个条目,操作标记为 3。操作 3 表示文件夹已被编辑。 如果未编辑文件夹许可权,必须单击取消按钮以退出页面。
通过 ADAC 客户端集成(使用 .exd 格式的文件)使用 API POST/jobs/{jobId}/dastconfig/updatetraffic/{action} 生成的 PostmanSoapUI 工具的流量文件中未排除域名。 您必须使用 .dast.config.har 文件来排除流量文件中的域名流量。
在 Windows 中更改 AppScan Enterprise 服务帐户的用户许可权时,扫描作业失败。 必须将服务帐户用户同时添加到 AppScan Enterprise 服务器和扫描程序机器上的 Windows 管理员组。
通过任务管理器终止 AppScan Agent 服务进程时,系统不会立即签入 HCL 扫描程序许可证。发行许可证大约需要 15 分钟的时间。 建议再次通过服务启动和停止代理,以发行许可证。
如果在关闭 AppScan Enterprise Server 之前未注销用户,则打开的会话可能导致许可证未签回池中。未签回的许可证需在 2 小时后才能签回。 用户应先注销,然后再关闭 AppScan Enterprise Server。
在安装 AppScan Enterprise 时,如果系统中已经安装了更高版本的 Microsoft Visual C++ Redistributable 2017,则无法安装 Visual C++ 2015,因为该应用程序试图安装 Visual C++ 2015 Redistributable,而没有检查系统中是否存在较新的版本。 卸载 Visual C++ 2017 RC Redistributable,安装 AppScan Enterprise,然后重新安装 Visual C++ 2017 Redistributable。
产品内嵌的帮助以所有语言提供,但相关链接仅支持日语、法语、简体中文和繁体中文。 不适用。
如果扩展日志文件很大(超过 2 GB),则有时候从“扫描”选项卡摘要报告下载日志文件的操作可能会导致压缩文件的大小为 0 KB。 在这种情况下,请从 AppScan Enterprise 代理服务器的“Logs”目录中复制文件。
动态分析配置客户机中编辑扫描时,请确保正在编辑的扫描未在 AppScan Enterprise 中运行;否则,在更新扫描时该扫描可能会暂挂。 请在客户机的“作业属性”页面上,取消选中“尽快运行作业”复选框,然后单击“更新作业”。
当扫描作业仅具有记录的登录(没有手动探索或起始 URL)时,扫描不会深入到该页面之下。 向“扫描内容”页面的手动探索或起始 URL 至少添加一个 URL。
在代理和正在扫描的 Web 站点之间部署防火墙时,会有性能降低和出现错误否定结果的风险。 AppScan Enterprise Server 发送的安全性任务可能被某些防火墙产品标记为可疑网络活动。
如果用户定义的规范化规则生成了空 URL 字符串,那么扫描可能无法停止。 “作业属性”中定义了规范化规则时,请务必确保能生成有效 URL。
如果已针对报告执行了“问题管理”,那么“报告包摘要”报告将不与报告数据同步。 完成“问题管理”任务时,必须重新运行“报告包”,以同步数字。
删除报告不会将报告从仪表板中立即除去。 必须重新运行仪表板才能使更改生效。
对列表进行排序时,整理顺序可能不会按照预期进行:日语中文 将使用 .NETSQL 整理以及特定于语言环境的整理,但本产品不依从 ICU。

在作业上进行编辑保存之前,ADAC 作业中断不适用于 9.0.3.11 之前创建的作业。

根本原因:应用程序中存在一个问题,导致起始 URL 未更新到 ASE 数据库中的 ADAC 作业。由于中断会从 ASE 数据库读取域,因此这正是中断不适用于 ADAC 作业的原因。由于启动 URL 存储在 dast.config 文件中,现有作业必须进行手动编辑并保存,这样一来,URL 才会存储到 ASE 数据库中。
  1. 编辑 ADAC 作业(创建于 9.0.3.11 之前)。
  2. 执行作业更新。
  3. 中断应该按照配置进行工作(与内容扫描作业类似)。

在 AppScan Standard 中运行扫描并将结果导出为旧版 XML 文件以用于 AppScan Enterprise 后,使用此 XML 文件作为导入作业运行。然后将其与 AppScan Enterprise 中的应用程序关联。然而,生成的安全报告不包括访问的 URL,尽管它们在原始 AppScan Standard 报告中可用。

 不适用

虽然可以使用 AppScan Enterprise REST API 导入 AppScan Activity Recorder (AAR) 加密文件。在内容扫描作业中,如果尝试直接通过 <uicontrol>AppScan Dynamic Analysis Client (ADAC)</uicontrol> 用户界面,则不支持。

 方法 1:使用 <uicontrol>AppScan REST

使用 <uicontrol>AppScan REST API (POST /jobs/{jobId}/dastconfig/updatetraffic/{action})</uicontrol> 导入加密文件。此方法绕过用户界面的限制,成功导入到 <uicontrol>AppScan-ADAC</uicontrol> 中,使扫描能够正常运行。

API</uicontrol> 导入加密文件:方法 2:考虑替代录制方法:

对于需要加密登录序列的场景,考虑在执行 <uicontrol>ADAC</uicontrol> 作业时使用 <uicontrol>ADAC</uicontrol> 录制而不是 <uicontrol>AAR</uicontrol>。<uicontrol>ADAC</uicontrol> 录制可能提供更多的灵活性,而不会遇到 <uicontrol>AAR</uicontrol> 上传时的加密相关限制。
在 <uicontrol>AppScan Enterprise</uicontrol> 版本 10.4.0 中,生成的 <uicontrol>PDF</uicontrol>、<uicontrol>HTML</uicontrol> 或 <uicontrol>XML</uicontrol> 格式的安全报告显示每个易受攻击组件问题的相同通用原因,而不管与之关联的具体公共漏洞和暴露 (CVE) ID。 不适用
当 <uicontrol>ASE</uicontrol> 服务器上的 <uicontrol>SSL</uicontrol> 证书无效(过期、不受信任)时,直接从 <uicontrol>ASE</uicontrol> 服务器升级 <uicontrol>ADAC v10.5.0</uicontrol> 或 <uicontrol>v10.5.1</uicontrol> 到更新版本会失败。这是因为 <uicontrol>ADAC 10.5.0</uicontrol> 和 <uicontrol>10.5.1</uicontrol> 实施了更严格的安全性,并阻止使用无效证书的下载。

修复此问题的补丁已包含在 ADAC 版本 10.6 及更高版本中。升级到 ADAC 10.6 或更高版本将解决此问题:

  1. 从 FNO 下载最新的 ADAC 版本(10.6 或更高版本)。
  2. 在目标机器上安装下载的 ADAC 版本。
Note:
  • 此变通方法仅适用于 ASE 服务器上的 SSL 证书无效的情况。
  • 在 ASE 服务器上拥有有效 SSL 证书的用户不受此问题影响。
在使用 TLS 1.2 的 Windows Server 2016 上,OLEDB 无法正常工作。此问题阻止用户维护与 TLS 1.2 的安全连接。

要解决此问题,请在机器上安装 SQL Native Client。您可以从以下链接下载 SQL Native Client:

下载 SQL Native Client

其他信息:
  • 如果在 Windows Server 2016 上需要 OLEDB 功能,用户可以暂时降级到 TLS 1.1。
  • 对于那些更喜欢使用 TLS 1.2 的用户,建议升级到 Windows Server 2019。
在 AppScan Enterprise v10.6.0 中,通用漏洞评分系统 (CVSS) 向量将仅以英文显示。对于非英文用户界面,向量将不可见。 不适用
基于 AppScan Standard 模板的 OpenAPI 扫描在 AppScan Enterprise 中不受支持。 通过 AppScan Connect 从 AppScan Standard 在 AppScan Enterprise 中创建 OpenAPI 扫描。
在导出的XLS文件中,“按业务单元的最大问题严重性”和“按业务单元的安全风险评级”部分显示的是每个业务单元(BU)的所有过滤后的应用程序计数,而不是实际的应用程序计数。 不适用
点击仪表板上带有过滤数据的链接不会将过滤器传递到<menucascade><uicontrol>Portfolio</uicontrol></menucascade>选项卡。因此,<menucascade><uicontrol>Portfolio</uicontrol></menucascade>选项卡显示的是所有具有相应状态的应用程序,而不仅仅是过滤后的应用程序。 用户必须从<menucascade><uicontrol>Portfolio</uicontrol></menucascade>选项卡的过滤器部分手动过滤应用程序。
从<menucascade><uicontrol>AppScan on Cloud</uicontrol></menucascade>导入SCA问题到<menucascade><uicontrol>AppScan Enterprise</uicontrol></menucascade>时,SCA问题详细信息未显示。 请联系<menucascade><uicontrol>AppScan Enterprise L2</uicontrol></menucascade>支持以获取补丁。
在PDF报告中,File:URL:属性缺失。此属性在导出的XML文件中也不存在,导致其未显示在PDF或HTML报告中。此问题存在于<menucascade><uicontrol>AppScan Enterprise 10.6.0</uicontrol></menucascade>版本中。 目前没有立即可用的修复。需要进行架构级别的更改来解决此问题。然而,在下一个版本中将引入一个新的软件组成分析(SCA)扫描器,这将解决此问题。
DAST作业报告包在完成后可能无法正确显示。 刷新页面并重新打开报告包。通常在第二次尝试时可以解决此问题。
在升级到 AppScan Enterprise v10.8.0 并使用大型数据库时,由于默认模板的升级,<uicontrol>Configuration Wizard</uicontrol> 可能比平常需要更长的时间才能完成。然而,该过程将自行成功完成。全新安装将在预期的时间范围内进行。没有可用的解决方法,并计划在未来的版本中修复。 不适用
当应用程序名称包含特殊字符时,例如“IAST-(InternalScan)”,<uicontrol>IAST Agents</uicontrol> 选项卡中的问题计数未正确显示。这包括不同严重级别的问题计数缺失,以及其他相关的代理详细信息也未按预期显示。 不适用
有时,当在 <uicontrol>Server Configuration Wizard</uicontrol> 中使用 MHS 许可证文件时,可能会发生许可证验证错误。当尝试配置组件如 <uicontrol>User Administration</uicontrol>、<uicontrol>Enterprise Console</uicontrol> 或 <uicontrol>Dynamic Analysis Scanner</uicontrol> 时会发生此错误。 单击 <uicontrol>Back</uicontrol> 按钮并返回到许可证屏幕以继续配置。
当使用 API 端点 <uicontrol>get /license/decryptedData</uicontrol> 时,响应体显示永久许可证的到期日期为 null。这是一个问题,因为永久许可证不应有到期日期,但 API 错误地返回 null 而不是指示到期不适用。 不适用
在尝试使用客户端证书或智能卡选项从独立启动的AppScan动态分析客户端(ADAC)登录到AppScan Enterprise服务器时,登录失败并出现错误消息:

无法连接到AppScan Enterprise服务器

 请从AppScan Enterprise浏览器控制台启动ADAC,而不是独立启动它。
卸载AppScan Enterprise v10.9.1后,即使具有管理员权限,您也无法删除安装目录中的某些文件和文件夹。错误消息表明这些文件正在被javawe.exe进程使用。 卸载完成后,请重启机器。然后您可以删除剩余的文件夹结构。
Get/issues/{jobId} API生成的PDF报告存在以下显示问题:
  • CVSS分数属性显示没有分数。只有当问题与监控页面中的应用程序关联时,才会计算此分数。
  • URL属性显示为'N/A'而不是隐藏。报告名称、报告描述和问题属性不翻译。
  • 无论用户界面中选择的语言如何,它们始终以英语显示。
 不适用