已知问题和变通方法
以下是已知问题及其变通方法。
| 问题 | 变通方法 |
|---|---|
|
如果使用基于 IssueType、Severity、Scanner 或 Status 的“分组依据”对问题进行分组时每个类别中有超过 500 个问题,我们将不再显示其他问题,并建议改用过滤器。过滤器同样限制为每种列类型最多显示 100 个值。 |
移除“分组依据”选项,然后根据您要用于显示结果的列类型对数据进行排序。 |
| 组件视图详细信息无法从 AppScan Enterprise 或 AppScan Standard 导出或导入。但是,易受攻击的组件可以作为问题导出或导入。 | 不适用 |
| 安全报告(xls、excel、xml 或 PDF)将不会显示任何组件详细信息。 | 不适用 |
| 运行配置向导是更新 CVE 记录的唯一方法。在安装 AppScan Enterprise 之后引入的新 CVE 将无法针对易受攻击的组件进行识别。 | 不适用 |
| 在活动日志中,日期过滤器显示的数据比指定的日期范围多一天。 | 不适用 |
| 对于没有 CVSS 3.1 属性的问题,不进行逾期计算。 | 不适用 |
| 对于在 10.1.0 或更早版本中扫描并与应用程序关联的所有问题,CVSS Version = 2.0 过滤器可能会同时显示 CVSS 2.0 和 3.1 的问题。 | 您可以基于 CVSS Version 列对问题进行排序,该列会根据版本首先列出所有 CVSS 2.0 的问题。 |
|
IAST .NET 代理在某些 .NET Framework 应用程序中作为 NuGet 安装时可能会失败,并出现错误“无法解析依赖项 'MonoModReorg.RuntimeDetour'”。 |
在安装 IAST 代理之前,安装 NuGet:
|
| 将 LDAP 配置为 ASE,并且扫描程序和服务器安装在同一台计算机上时,无法导入用户组并以正确的值保存用户属性。 | 通过在服务器组件窗口中选择您之前在服务器配置期间选择的所有适用组件(用户管理/企业控制台/IAST)以及动态分析 (Dynamic Analysis) 扫描程序,重新运行配置向导。 |
| 严重性为“信息”的 IAST 问题将 CVSS 版本显示为 2.0 而不是 3.1。 | 忽略显示的版本并将版本视为 3.1,因为 IAST 是 AppScan Enterprise 扫描程序。 |
| 扫描状态警报未发送到配置的电子邮件地址。 | 重新启动警报服务。 |
| 当您从 10.0.8 升级到 10.1.0 时,IAST java war 代理部署或连接会失败,并且不会与 AppScan Enterprise 交互。 | 禁用然后再重新启用该代理。 |
| 使用 Appscan Mobile Analyzer 和 AppScan Mobile Analyzer IOS 扫描程序配置文件重新导入问题会导致错误。 | 刷新监视器选项卡。 |
| 对问题进行重新测试可能会导致该问题的状态报告为“已修复”,即使该问题实际并未修复。 | 如果您的站点需要身份验证,那么您必须强制在扫描级别设置登录,以便重新测试提供正确的重新测试状态。 |
| 对问题类型“Spring MVC 上的远程命令执行 (CVE-2022-22965)”进行重新测试可能会导致该问题的状态报告为“已修复”而不是“已重新打开”,即使该问题实际并未修复。 | 建议对应用程序运行完整扫描以确认此问题类型是否已修复。 |
| 在监视器选项卡中,单击某个问题时不会显示问题详细信息。相反,会显示错误消息“CRWAS9999E 发生未知错误。”。如果问题详细信息的文本内容很大,则会发生此问题。 | 导航至 <ASE 安装目录>\AppScan Enterprise\Liberty\usr\servers\<服务器实例> 并将行 -Xss1024m 添加到 jvm.options,然后重新启动“HCL AppScan Enterprise Server”服务。 |
| 代理服务显示“检查许可证”状态。 | 在扫描程序计算机上重新启动“HCL AppScan Agent Service”。 |
|
对于 DAST 代理,使用 Firefox 浏览器记录流量时,不会自动检测到“会话内”。 |
通过选择主页 URL 并单击 会话内 按钮来手动添加会话内,或者在记录流量之前,关闭任何会产生大量流量的 Firefox 插件,例如 Clockify。 |
| 移除 OWASP 2017 并支持 OWASP 2021 报告:在 10.0.7 之前创建的所有报告包和报告包模板都将包含 OWASP 2017 报告。 | 如果需要,用户必须从所有现有扫描的报告包中手动删除 OWASP Top 10 2017 并添加 OWASP Top 10 2021,然后运行该报告包。 |
| 在 IAST 代理页面中,您可能会遇到以下 UI 故障: | |
| 单击 操作 下拉列表中的 生成密钥 按钮时,没有响应。 | 刷新页面并重试。 |
| 在生成密钥弹出窗口中,单击 生成 按钮时,没有响应。 | 请勿多次单击。等待大约一分钟,如果仍然没有响应,请关闭弹出窗口并重试。 |
| 重新生成 Node.js 代理的密钥时,包大小可能会增加。 | 这可以忽略,因为它在大多数情况下都能正常工作。 |
| 如果下载的 Node.js 代理没有正确的代理密钥。 | 重新生成代理密钥并再次下载代理。 |
| 对于 SAST 问题,当在“扫描”选项卡中运行导入的作业时,它现在会为常见问题生成用户友好的名称。“监视器”选项卡继续使用旧格式的 ID,以保持与早期版本的一致性,并且将在未来更新为用户友好的名称。因此,如果您使用同一个应用程序将源数据直接导入到“监视器”选项卡,并将该应用程序链接到在“扫描”选项卡中运行的源导入作业,您可能会注意到某些问题分类在不同的问题类型下(例如 SQL 注入、跨站点脚本)。 | 如果您将多个 SAST 问题导入到 AppScan Enterprise,建议对它们使用相同的机制:要么在“监视器”选项卡中导入所有扫描,要么在“扫描”选项卡中将所有作业作为导入作业运行并链接到应用程序。这不影响功能;此问题仅影响显示。 |
当 AppScan Enterprise UI 语言设置为非英语的任何其他语言时,可能会观察到以下问题:
|
UI 语言的任何更改都不会以任何方式影响 UI 功能,除了这些信息将以英语提供。因此,建议继续使用该功能,直到在后续版本中解决这些问题。 |
| 当用户将“如何修复”配置到正在使用的端口时,当尝试访问问题详细信息并访问“如何修复”链接时,用户从 UI 中不会看到适当的错误消息。 | 将“如何修复”指向其他端口并重新运行配置向导。 |
| 如果用户在 ASE UI 中上传了 用户定义测试 文件,则会显示错误消息:连接到咨询服务服务器时出错。 | UDT 文件将成功导入 AppScan Enterprise。但用户将无法在 UI 或报告中看到 UDT issueTypeIds 的“如何修复”信息。 要查看 UDT issueTypeIds 的 xml“如何修复”信息:
|
| 在不更改文件夹权限的情况下从“扫描”页面编辑文件夹并单击 保存 按钮时,它会在 ActivityLog 表中生成一条操作标记为 3 的记录。操作 3 表示文件夹已编辑。 | 如果您没有编辑文件夹权限,则必须单击 取消 按钮以退出页面。 |
| 使用 API POST/jobs/{jobId}/dastconfig/updatetraffic/{action} 通过 ADAC 客户端集成生成的 Postman 或 SoapUI 工具的流量文件(格式为 .exd 的文件)中并未排除域名 | 您必须使用 .dast、 .config 或 .har 文件从流量文件中排除域的流量。 |
| 在 Windows 中更改 AppScan Enterprise 服务帐户的用户权限时,扫描作业失败。 | 您必须将服务帐户用户添加到 AppScan Enterprise 服务器和扫描程序计算机上的 Windows Administrators 组中。 |
| 通过任务管理器终止 AppScan Agent 服务进程时,不会立即发生 HCL 扫描程序许可证签入。释放许可证大约需要 15 分钟。 | 建议通过服务再次启动和停止 Agent,以释放许可证。 |
| 如果在关闭 AppScan Enterprise Server 之前用户未注销,则打开的会话可能会导致许可证不会被签入回池中。这些遗留的许可证只能在 2 小时后重新签入。 | 用户应在关闭 AppScan Enterprise Server 之前注销。 |
| 在安装 AppScan Enterprise 期间,如果系统中已安装更高版本的 Microsoft Visual C++ Redistributable 2017,则 Visual C++ 2015 的安装将失败,因为应用程序试图在未检查系统中是否已存在较新版本的情况下安装 Visual C++ 2015 Redistributable。 | 卸载 Visual C++ 2017 RC Redistributable,安装 AppScan Enterprise,然后重新安装 Visual C++ 2017 Redistributable。 |
| 产品内联帮助支持所有语言,但是相关链接仅支持日语、法语、简体中文和繁体中文。 | 不适用。 |
| 如果扩展日志文件大小很大(大于 2GB),有时从“扫描”选项卡摘要报告下载日志文件操作可能会导致 0KB 的 zip 文件。 | 在这种情况下,请从 AppScan Enterprise Agent 服务器中的 Logs 目录复制文件。 |
| 在 Dynamic Analysis Configuration Client 中编辑扫描时,请确保您正在编辑的扫描未在 AppScan Enterprise 中运行;否则,在更新扫描时它可能会挂起该作业。 | 在 Client 的 作业属性 页面上,清除 尽快运行作业 复选框,然后单击 更新作业。 |
| 当扫描作业只有记录的登录信息(没有手动探索或起始 URL)时,扫描将不会爬取该页面以下的页面。 | 将至少一个 URL 添加到 要扫描的内容 页面的 手动探索 或起始 URL。 |
| 在代理与被扫描网站之间部署防火墙时,存在性能下降和假阴性结果的风险。 | AppScan Enterprise Server 会发送安全测试,某些防火墙产品可能会将其标记为可疑网络活动。 |
| 如果用户定义的规范化规则导致 URL 字符串为空,则存在扫描无法结束的风险。 | 在“作业属性”中定义规范化规则时,必须确保它们能够生成有效的 URL。 |
| 如果在报告上执行了问题管理,则报告包摘要报告将与报告数据不同步。 | 在完成问题管理任务时,必须重新运行报告包以同步这些数值。 |
| 已删除的报告不会立即从仪表板中删除。 | 必须重新运行仪表板才能使更改生效。 |
| 排序列表时,对于 日语 和 中文,排序顺序可能无法按预期工作。 | 使用了 .NET 和 SQL 排序规则以及特定于语言环境的排序规则,但该产品不符合 ICU 标准。 |
|
对于在 9.0.3.11 之前创建的作业,ADAC 作业停用期不起作用,直到对该作业执行编辑保存。 根本原因:应用程序中存在一个问题,即 ADAC 作业的起始 URL 未更新到 ASE 数据库中。由于停用期是从 ASE 数据库读取域的,因此这导致停用期对 ADAC 作业不起作用。由于起始 URL 存储在 dast.config 文件中,因此必须手动编辑并保存现有作业才能将 URL 存储到 ASE 数据库中。 |
|
|
在 AppScan Standard 中运行扫描并将结果作为旧版 XML 文件导出以便在 AppScan Enterprise 中使用后,使用此 XML 文件时,它将作为导入的作业运行。然后将其与 AppScan Enterprise 中的应用程序关联。然而,生成的安全报告不包含“已访问 URL”,尽管它们在原始 AppScan Standard 报告中可用。 |
不适用 |
|
尽管可以使用 AppScan Enterprise REST API 导入 AppScan Activity Recorder (AAR) 加密文件。在内容扫描作业中,如果直接尝试通过 AppScan Dynamic Analysis Client (ADAC) 用户界面进行导入,则不支持它们。 |
方法 1:使用 AppScan REST API 导入加密文件: 使用 AppScan REST API(POST /jobs/{jobId}/dastconfig/updatetraffic/{action})导入加密文件。此方法绕过了用户界面的限制,并能够成功导入到 AppScan-ADAC 中,使扫描正常工作。 方法 2: 考虑替代记录方法:对于需要加密登录序列的场景,在执行 ADAC 作业时,考虑使用 ADAC 记录而不是 AAR。ADAC 记录可能会提供更高的灵活性,而不会遇到使用 AAR 上传时出现的加密相关的限制。 |
| 在 AppScan Enterprise 10.4.0 版本中,以 PDF、HTML 或 XML 格式生成的安全报告会显示每个易受攻击组件问题的相同一般原因,无论与其关联的具体通用漏洞披露 (CVE) ID 是什么。 | 不适用 |
| 当 ASE 服务器上的 SSL 证书无效(过期、不受信任)时,直接从 ASE 服务器将 ADAC v10.5.0 或 v10.5.1 升级到较新版本将失败。发生这种情况是因为 ADAC 10.5.0 和 10.5.1 实施了更严格的安全措施,并阻止使用无效证书进行下载。 |
此问题的修复包含在 ADAC 10.6 及更高版本中。升级到 ADAC 10.6 或更高版本将解决此问题:
注:
|
| 当在具有 TLS 1.2 的 Windows Server 2016 上使用时,OLEDB 无法正常工作。此问题会阻止用户维护使用 TLS 1.2 的安全连接。 |
要解决此问题,请在计算机上安装 SQL Native Client。您可以从以下链接下载 SQL Native Client: 附加信息:
|
| 在 AppScan Enterprise v10.6.0 中,通用漏洞评分系统 (CVSS) 向量将仅以英语显示。在非英语用户界面中,该向量将不可见。 | 不适用 |
| AppScan Enterprise 中不支持基于 AppScan Standard 模板的 OpenAPI 扫描。 | 通过 AppScan Connect 从 AppScan Standard 在 AppScan Enterprise 中创建 OpenAPI 扫描。 |
| 在导出的 XLS 文件中,“按业务部门划分的问题严重性(最大值)”和“按业务部门划分的安全风险评级”部分显示每个业务部门 (BU) 过滤后的所有应用程序计数,而不是实际的应用程序计数。 | 不适用 |
| 单击仪表板上带有过滤数据的链接不会将过滤器结转到“项目组合”选项卡。因此,“项目组合”选项卡显示具有相应状态的所有应用程序,而不是仅显示过滤后的应用程序。 | 用户必须从“项目组合”选项卡的过滤器部分手动过滤应用程序。 |
| 将 SCA 问题从 AppScan on Cloud 导入到 AppScan Enterprise 时不显示 SCA 问题详细信息。 | 请联系 AppScan Enterprise L2 支持团队以获取补丁。 |
在 PDF 报告中,缺少 文件: 或 URL: 属性。导出的 XML 文件中也缺少此属性,导致其无法显示在 PDF 或 HTML 报告中。版本 AppScan Enterprise 10.6.0 中存在此问题。 |
目前没有立即可用的修复程序。需要进行架构级更改才能解决此问题。但是,将在下一版本中引入用于软件成分分析 (SCA) 的新扫描程序,这将解决此问题。 |
| DAST 作业报告包在完成后可能无法正确显示。 | 刷新页面并重新打开报告包。这通常会在第二次尝试时解决问题。 |
| 使用大型数据库升级到 AppScan Enterprise v10.8.0 时,由于默认模板的升级,配置向导可能需要比平时更长的时间才能完成。但是,该过程将自行成功完成。全新安装将在预期的时间范围内进行。目前没有可用的变通方法,计划在未来版本中修复。 | 不适用 |
| 当应用程序名称包含特殊字符(例如“IAST-(InternalScan)”)时,IAST 代理选项卡中的问题计数无法正确显示。这包括缺少不同严重级别的问题计数,以及其他相关的代理详细信息也无法按预期显示。 | 不适用 |
| 有时,在服务器配置向导中使用 MHS 许可证文件时,可能会发生许可证验证错误。当尝试配置“用户管理”、“企业控制台”或“动态分析扫描程序”等组件时会发生此错误。 | 单击 上一步 按钮并返回许可证屏幕以继续配置。 |
使用 API 端点 get /license/decryptedData 时,对于永久许可证,响应正文显示过期日期为 null。这是一个问题,因为永久许可证不应该有过期日期,但 API 错误地返回了 null,而不是指示过期日期不适用。 |
不适用 |
| 尝试在单独启动的 AppScan Dynamic Analysis Client (ADAC) 中使用客户端证书或智能卡选项登录到 AppScan Enterprise 服务器时,登录失败并显示错误消息:
|
从 AppScan Enterprise 浏览器控制台启动 ADAC,而不是单独启动它。 |
卸载 AppScan Enterprise v10.9.1 后,即使用户具有管理员权限,也无法从安装目录中删除某些文件和文件夹。错误消息指示这些文件正被 javawe.exe 进程使用。 |
卸载完成后重新启动计算机。然后,您可以删除剩余的文件夹结构。 |
从 Get/issues/{jobId} API 生成的 PDF 报告存在以下显示问题:
|
不适用 |
| 在 Windows Server 2019 上进行升级期间,配置向导可能会因 Java 虚拟机 (JVM) 初始化错误 (JVMJ9VM013W) 而失败并停止升级。 | 如果 AppScan Enterprise Server 服务或 Dynamic Analysis Scanner 进程停止响应,并且安装程序无法停止它们,就会发生此问题。要解决此问题:
|
| 将包含失效的访问控制和未经验证的文件的扫描从 AppScan Standard 推送到 AppScan Enterprise 时,报告的漏洞可能与原始扫描不匹配。例如,可能会缺失“使用低权限用户的失效的访问控制”漏洞,或者可能出现意外的未经验证的问题。 | 这种差异通常是因为两种产品之间的探索数据存在差异,或者由于在 AppScan Enterprise 扫描期间发生临时服务器错误(如 HTTP 500)而发生的。 要解决此问题:
|
| 如果对“使用低权限用户的失效的访问控制”漏洞执行单问题重新测试,即使该漏洞未修复,重新测试完成后该问题也会从报告中消失。 | 不要对此漏洞使用单问题重新测试功能。而是对应用程序运行完整扫描,以验证失效的访问控制漏洞是否已解决。 |
| 对于某些问题类型,从监视器页面生成的安全报告可能会两次显示 CVSS 4.0 向量。这会在所有受支持的报告格式(HTML、PDF、XML 和 Excel)中不定期发生。 | 不适用 |
在后处理阶段,扫描可能会意外挂起并显示错误消息:挂起(未知错误:动态 SQL 错误 SQL 错误代码 = -303 格式错误的字符串)。 |
不适用 |
当您使用“扫描”视图中的“导出为 PDF”或“详细安全问题至 PDF”生成报告时,可能会看到 发生错误。请重试 消息。 |
不适用 |