已知问题和变通方法

以下是已知问题及其变通方法。

1. 已知问题和变通方法
问题 变通方法

如果当您根据问题类型、严重性、扫描器或状态对问题进行“分组”时,每个类别中的问题超过 500 个,我们不会显示其他问题,而是建议使用过滤器。过滤器还限于每种列类型最多仅显示 100 个值。

 删除“分组依据”选项,然后根据要用于显示结果的列类型对数据进行排序。
无法从 AppScan Enterprise 或 AppScan Standard 导出或导入“组件”视图详细信息。但是,易受攻击的组件可以作为问题导出或导入。 不适用
安全报告(xls、excel、xml 或 PDF)不会显示任何组件详细信息。 不适用
运行配置向导是更新 CVE 记录的唯一方法。安装 AppScan Enterprise 后引入的新 CVE 不会被标识为易受攻击的组件。 不适用
在活动日志中,日期过滤器显示指定日期范围之外多一天的数据。 不适用
对于没有 CVSS 3.1 属性的问题,不进行逾期计算 不适用
对于在版本 10.1.0 或更早版本中扫描并与应用程序关联的所有问题, CVSS 版本 = 2.0筛选器可能会显示 CVSS 2.0 和 3.1 问题。 您可以根据 CVSS 版本列对问题进行排序,该列首先根据版本列出所有 CVSS 2.0 问题。

IAST .

在安装 IAST 代理之前,请安装 NuGet: 'MonoModReorg.RuntimeDetour'版本22.11.21-prerelease.2。确保选中 Visual Studio NuGet 选项卡中的预发布复选框。。
将 LDAP 配置为 ASE 并且扫描器和服务器安装在同一台计算机中时,无法导入用户组和使用正确值保存用户属性 通过在“服务器组件”窗口中选择您之前在服务器配置期间选择的所有适用组件 (User Administration/Enterprise Console/IAST),以及 Dynamic Analysis scanner,重新运行配置向导。
严重性为“信息”的 IAST 问题将 CVSS 版本显示为 2.0,而不是 3.1。 忽略显示的版本并将版本视为 3.1,因为 IAST 是 AppScan Enterprise 扫描器。
扫描状态警报没有发送到配置的电子邮件地址。 重新启动警报服务。
从 10.0.8 升级到 10.1.0 时,IAST Java war 代理程序部署或连接会失败,并且它不与 AppScan Enterprise 交互。 先禁用然后再次启用该代理程序。
重新导入 Appscan Mobile Analyzer 和 AppScan Mobile Analyzer IOS 扫描程序概要文件问题会导致错误。 刷新“监控”选项卡。
重新测试某个问题可能导致问题状态被报告为“已修复”,即使问题实际上未修复也是如此。 如果站点需要认证,那么您必须在扫描级别设置强制登录,才能让“重新测试”提供正确的重新测试状态。
重新测试问题类型“Spring MVC 上的远程命令执行 (CVE-2022-22965)”可能导致问题状态被报告为“已修复”而不是“已重新打开”,即使问题实际上未修复也是如此。 建议对应用程序运行完全扫描,以确认此问题类型是否已修复。
在“监控”选项卡中,单击问题时不会显示问题详细信息,而是显示错误消息“CRWAS9999E 发生了未知错误”。如果问题详细信息的文本内容较多,就会出现此问题。 浏览至 <ASE 安装目录>\AppScan Enterprise\Liberty\usr\servers\<服务器实例>,将 -Xss1024m 这一行添加到 jvm.options 中,然后重新启动“HCL AppScan Enterprise Server”服务。
代理进程服务显示“检查许可证”状态。 在扫描程序机器上重新启动“HCL AppScan Agent 服务”。

对于 DAST 代理,当使用 Firefox 浏览器记录流量时,不会自动检测会话中。

 通过选择主页 URL 并单击会话中按钮来手动添加“会话中”,或者在记录流量之前,关闭任何产生大量流量的 Firefox 插件,例如 Clockify。
移除 OWASP 2017 并支持 OWASP 2021 报告:10. 如果需要,用户必须手动移除 OWASP Top 10 2017,并将 OWASP Top 10 2021 添加到所有现有扫描的报告包,同时运行报告包。
在“IAST 代理程序”页面中,您可能会遇到一些 UI 故障,如下所示:
当您单击操作下拉列表中的生成密钥按钮时,没有任何响应。 请刷新页面并重试。
在“生成密钥”弹出窗口中,当您单击生成按钮时,没有任何响应。 请勿多次单击。等待大约一分钟,如果仍没有响应,请关闭弹出窗口并重试。
重新生成 Node.js 代理程序密钥时,包大小可能会增加。 这一点可以忽略,因为它在大多数情况下都有效。
如果下载的 Node.js 代理程序没有相应的代理程序密钥。 重新生成代理程序密钥并再次下载代理程序。
对于 SAST 问题,在“扫描”选项卡中运行导入的作业时,它现在为常见问题生成用户友好的名称。“监控”选项卡继续使用旧格式的标识,以与之前的发行版保持一致,并且以后将使用用户友好名称进行更新。因此,如果使用同一应用程序将源数据直接导入“监控”选项卡,并且将同一应用程序链接到“扫描”选项卡中运行的源导入作业,那么您可能会注意到不同问题类型下分类的一些问题(例如 SQL 注入和跨站点脚本编制)。 如果将多个 SAST 问题导入到 AppScan Enterprise,建议对所有问题使用相同的机制:在“监视器”选项卡中导入所有扫描,或者在“扫描”选项卡中将所有作业作为导入作业运行并链接到应用程序。对功能没有影响;此问题仅影响显示。
支付卡行业数据安全标准 (PCI) 报告的日语版本省略了合规性详细信息。 有关此问题的详细信息,请参阅以下缺陷文章:https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0094517
当 AppScan Enterprise UI 语言设置为除英语外的其他语言时,可能会发生以下问题:
  • 在“监控”页面中,浏览至扫描问题的“关于问题”页面时,“原因”信息始终以英语显示。
  • 当 UI 语言设置为 Espanola(西班牙语)时,会以英语显示“参考 API”链接和“修复方法”报告内容。
  • 从“监控”选项卡中选择其他语言并导出问题时,IssueType 名称将以英语显示。
  • 切换到其他语言时,“扫描”选项卡中的如何修复 (不同的编程语言内容)将以之前的语言显示。
  • ase_plan.pdf 和自述文件未翻译。
 任何语言设置更改都不会对 UI 功能产生任何影响,但此信息将以英语提供。因此,建议继续使用该功能,直到这些问题在后续发行版中得到解决为止。
如果用户已为使用中的端口配置“修复方法”,则用户在尝试访问“问题”详细信息和访问“修复方法”链接时,将不会在 UI 中看到相应的错误消息。 重新运行配置向导,将“修复方法”指向另一个端口。
如果用户在 ASE UI 中上传用户定义的测试文件,那么它将显示一条错误消息:连接到咨询服务服务器时发生错误 UDT 文件将成功导入到 AppScan Enterprise,但是用户在 UI 或报告中看不到 UDT issueTypeIds“修复方法”信息。
要查看 UDT issueTypeIds 的“修复方法”xml 信息,请执行以下操作:
  1. 导航到<ASE 安装目录>\AppScan Enterprise\CustomAdvisory\advisories\archives文件夹路径,然后提取相应的UDT IssueTypeName zip文件(示例: UserDefined_UDT1.zip )。
  2. 用户可以在<ASE 安装目录>\AppScan Enterprise\CustomAdvisory\advisories\archives\Advisories\en-US文件夹路径中查看如何修复/建议信息xml(示例: UserDefined_UDT1.xml )文件。
当您从“扫描”页面编辑文件夹而不对文件夹权限进行任何更改并单击保存按钮时,它会在 ActivityLog 表中创建一个条目,其操作标记为 3。操作 3 表示文件夹被编辑过。 如果您尚未编辑文件夹权限,则必须单击取消按钮退出该页面。
域名不排除在PostmanSoapUI工具通过 ADAC 客户端集成( .exd格式的文件)使用 API POST/jobs/生成的流量文件中{jobId}/dastconfig/更新流量/{action} 您必须使用 .dast.config.har
在 Windows 中更改 AppScan Enterprise 服务帐户的用户许可权时,扫描作业失败。 必须将服务帐户用户同时添加到 AppScan Enterprise 服务器和扫描程序机器上的 Windows 管理员组。
通过任务管理器终止 AppScan Agent 服务进程时,系统不会立即签入 HCL 扫描程序许可证。发行许可证大约需要 15 分钟的时间。 建议再次通过服务启动和停止代理,以发行许可证。
如果在关闭 AppScan Enterprise Server 之前未注销用户,则打开的会话可能导致许可证未签回池中。未签回的许可证需在 2 小时后才能签回。 用户应先注销,然后再关闭 AppScan Enterprise Server。
在安装 AppScan Enterprise 时,如果系统中已经安装了更高版本的 Microsoft Visual C++ Redistributable 2017,则无法安装 Visual C++ 2015,因为该应用程序试图安装 Visual C++ 2015 Redistributable,而没有检查系统中是否存在较新的版本。 卸载 Visual C++ 2017 RC Redistributable,安装 AppScan Enterprise,然后重新安装 Visual C++ 2017 Redistributable。
产品内嵌的帮助以所有语言提供,但相关链接仅支持日语、法语、简体中文和繁体中文。 不适用。
如果扩展日志文件很大(超过 2 GB),则有时候从“扫描”选项卡摘要报告下载日志文件的操作可能会导致压缩文件的大小为 0 KB。 在这种情况下,请从 AppScan Enterprise 代理服务器的“Logs”目录中复制文件。
当您在 Dynamic Analysis Configuration Client 中编辑扫描时,确保您正在编辑的扫描未在 AppScan Enterprise 中运行;否则,当您更新扫描时,它可能会暂停作业。 在客户端的作业属性页面上,清除尽快运行作业复选框,然后单击更新作业
当扫描作业仅具有记录的登录(没有手动探索或起始 URL)时,扫描不会深入到该页面之下。 将至少一个 URL 添加到“手动浏览”“扫描内容”页面的起始 URL。
在代理和正在扫描的 Web 站点之间部署防火墙时,会有性能降低和出现错误否定结果的风险。 AppScan Enterprise Server 发送的安全性任务可能被某些防火墙产品标记为可疑网络活动。
如果用户定义的规范化规则生成了空 URL 字符串,那么扫描可能无法停止。 “作业属性”中定义了规范化规则时,请务必确保能生成有效 URL。
如果已针对报告执行了“问题管理”,那么“报告包摘要”报告将不与报告数据同步。 完成“问题管理”任务时,必须重新运行“报告包”,以同步数字。
删除报告不会将报告从仪表板中立即除去。 必须重新运行仪表板才能使更改生效。
对列表进行排序时,对于日语中文 使用.NETSQL排序规则以及特定于区域设置的排序规则,但该产品不符合 ICU。

在作业上进行编辑保存之前,ADAC 作业中断不适用于 9.0.3.11 之前创建的作业。

根本原因:应用程序中存在问题,即 ADAC 作业的起始 URL 未更新到 ASE 数据库中。由于中断会从 ASE 数据库读取域,因此这正是中断不适用于 ADAC 作业的原因。由于启动 URL 存储在 dast.config 文件中,现有作业必须进行手动编辑并保存,这样一来,URL 才会存储到 ASE 数据库中。
  1. 编辑 ADAC 作业(创建于 9.0.3.11 之前)。
  2. 执行作业更新。
  3. 中断应该按照配置进行工作(与内容扫描作业类似)。

在 AppScan Standard 中运行扫描并将结果导出为旧版 XML 文件以在 AppScan Enterprise 中使用后,在使用此 XML 文件时,它会作为导入作业运行。然后将其与 AppScan Enterprise 中的应用程序关联。但是,生成的安全报告不包括已访问 URL,尽管它们在原始 AppScan Standard 报告中可用。

 不适用

而 AppScan Activity Recorder (AAR) 加密文件可以使用 AppScan Enterprise REST API 导入。在内容扫描作业中,如果直接通过 AppScan Dynamic Analysis Client (ADAC) 用户界面尝试,则不支持它们。

 方法 1 :使用 AppScan REST API 进行加密文件导入:

使用 AppScan REST API ( POST /jobs/{jobId} /dastconfig/更新流量/{action} ) 导入加密文件。此方法绕过用户界面限制,并能够成功导入 AppScan-ADAC,从而使扫描能够正常运行。

方法 2 :考虑替代记录方法:

对于需要加密登录序列的场景,请考虑在执行 ADAC 作业时使用 ADAC 记录而不是 AAR。ADAC 录制可能会提供更大的灵活性,而不会遇到 AAR 上传中与加密相关的限制。