已知问题和变通方法

以下是已知问题及其变通方法。

1. 已知问题和变通方法
问题 变通方法

如果当您根据问题类型、严重性、扫描器或状态对问题进行“分组”时,每个类别中的问题超过 500 个,我们不会显示其他问题,而是建议使用过滤器。过滤器还限于每种列类型最多仅显示 100 个值。

删除“分组依据”选项,然后根据要用于显示结果的列类型对数据进行排序。
无法从 AppScan Enterprise 或 AppScan Standard 导出或导入“组件”视图详细信息。但是,易受攻击的组件可以作为问题导出或导入。 不适用
安全报告(xls、excel、xml 或 PDF)不会显示任何组件详细信息。 不适用
运行配置向导是更新 CVE 记录的唯一方法。安装 AppScan Enterprise 后引入的新 CVE 不会被标识为易受攻击的组件。 不适用
在活动日志中,日期过滤器显示指定日期范围之外多一天的数据。 不适用
对于没有 CVSS 3.1 属性的问题,不进行逾期计算 不适用
对于在版本 10.1.0 或更早版本中扫描并与应用程序关联的所有问题, CVSS 版本 = 2.0筛选器可能会显示 CVSS 2.0 和 3.1 问题。 您可以根据 CVSS 版本列对问题进行排序,该列首先根据版本列出所有 CVSS 2.0 问题。

IAST .

在安装 IAST 代理之前,请安装 NuGet: 'MonoModReorg.RuntimeDetour'版本22.11.21-prerelease.2。确保选中 Visual Studio NuGet 选项卡中的预发布复选框。。

将 LDAP 配置为 ASE 并且扫描器和服务器安装在同一台计算机中时,无法导入用户组和使用正确值保存用户属性 通过在“服务器组件”窗口中选择您之前在服务器配置期间选择的所有适用组件 (User Administration/Enterprise Console/IAST),以及 Dynamic Analysis scanner,重新运行配置向导。
严重性为“信息”的 IAST 问题将 CVSS 版本显示为 2.0,而不是 3.1。 忽略显示的版本并将版本视为 3.1,因为 IAST 是 AppScan Enterprise 扫描器。
扫描状态警报没有发送到配置的电子邮件地址。 重新启动警报服务。
从 10. 先禁用然后再次启用该代理程序。
重新导入 Appscan Mobile Analyzer 和 AppScan Mobile Analyzer IOS 扫描程序概要文件问题会导致错误。 刷新“监控”选项卡。
重新测试某个问题可能导致问题状态被报告为“已修复”,即使问题实际上未修复也是如此。 如果站点需要认证,那么您必须在扫描级别设置强制登录,才能让“重新测试”提供正确的重新测试状态。
重新测试问题类型“Spring MVC 上的远程命令执行 (CVE-2022-22965)”可能导致问题状态被报告为“已修复”而不是“已重新打开”,即使问题实际上未修复也是如此。 建议对应用程序运行完全扫描,以确认此问题类型是否已修复。
在“监控”选项卡中,单击问题时不会显示问题详细信息,而是显示错误消息“CRWAS9999E 发生了未知错误”。而是显示错误消息“CRWAS9999E 发生了未知错误”。如果问题详细信息的文本内容较多,就会出现此问题。 浏览至 <ASE 安装目录>\AppScan Enterprise\Liberty
代理进程服务显示“检查许可证”状态。 在扫描程序机器上重新启动“HCL AppScan Agent 服务”。

对于 DAST 代理,当使用 Firefox 浏览器记录流量时,不会自动检测会话中。

通过选择主页 URL 并单击会话中按钮来手动添加“会话中”,或者在记录流量之前,关闭任何产生大量流量的 Firefox 插件,例如 Clockify。
移除 OWASP 2017 并支持 OWASP 2021 报告:10. 如果需要,用户必须手动移除 OWASP Top 10 2017,并将 OWASP Top 10 2021 添加到所有现有扫描的报告包,同时运行报告包。
在“IAST 代理程序”页面中,您可能会遇到一些 UI 故障,如下所示:
当您单击操作下拉列表中的生成密钥按钮时,没有任何响应。 请刷新页面并重试。
在“生成密钥”弹出窗口中,当您单击生成按钮时,没有任何响应。 请勿多次单击。等待大约一分钟,如果仍没有响应,请关闭弹出窗口并重试。
重新生成 Node.js 代理程序密钥时,包大小可能会增加。 这一点可以忽略,因为它在大多数情况下都有效。
如果下载的 Node.js 代理程序没有相应的代理程序密钥。 重新生成代理程序密钥并再次下载代理程序。
对于 SAST 问题,在“扫描”选项卡中运行导入的作业时,它现在为常见问题生成用户友好的名称。“监控”选项卡继续使用旧格式的标识,以与之前的发行版保持一致,并且以后将使用用户友好名称进行更新。因此,如果使用同一应用程序将源数据直接导入“监控”选项卡,并且将同一应用程序链接到“扫描”选项卡中运行的源导入作业,那么您可能会注意到不同问题类型下分类的一些问题(例如 SQL 注入和跨站点脚本编制)。 如果将多个 SAST 问题导入到 AppScan Enterprise,建议对所有问题使用相同的机制:在“监视器”选项卡中导入所有扫描,或者在“扫描”选项卡中将所有作业作为导入作业运行并链接到应用程序。对功能没有影响;此问题仅影响显示。
支付卡行业数据安全标准 (PCI) 报告的日语版本省略了合规性详细信息。 有关此问题的详细信息,请参阅以下缺陷文章:https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0094517
当 AppScan Enterprise UI 语言设置为除英语外的其他语言时,可能会发生以下问题:
  • 在“监控”页面中,浏览至扫描问题的“关于问题”页面时,“原因”信息始终以英语显示。
  • 当 UI 语言设置为 Espanola(西班牙语)时,会以英语显示“参考 API”链接和“修复方法”报告内容。
  • 从“监控”选项卡中选择其他语言并导出问题时,IssueType 名称将以英语显示。
  • 切换到其他语言时,“扫描”选项卡中的如何修复 (不同的编程语言内容)将以之前的语言显示。
  • ase_plan.
任何语言设置更改都不会对 UI 功能产生任何影响,但此信息将以英语提供。因此,建议继续使用该功能,直到这些问题在后续发行版中得到解决为止。
如果用户已为使用中的端口配置“修复方法”,则用户在尝试访问“问题”详细信息和访问“修复方法”链接时,将不会在 UI 中看到相应的错误消息。 重新运行配置向导,将“修复方法”指向另一个端口。
如果用户在 ASE UI 中上传用户定义的测试文件,那么它将显示一条错误消息:连接到咨询服务服务器时发生错误 UDT 文件将成功导入到 AppScan Enterprise,但是用户在 UI 或报告中看不到 UDT issueTypeIds“修复方法”信息。但是用户在 UI 或报告中看不到 UDT issueTypeIds“修复方法”信息。
要查看 UDT issueTypeIds 的“修复方法”xml 信息,请执行以下操作:
  1. 导航到<ASE 安装目录>\AppScan Enterprise\CustomAdvisory\advisories\archives文件夹路径,然后提取相应的UDT IssueTypeName zip文件(示例: UserDefined_UDT1.zip )。
  2. 用户可以在<ASE 安装目录>\AppScan Enterprise\CustomAdvisory\advisories\archives\Advisories\en-US文件夹路径中查看如何修复/咨询信息xml(示例: UserDefined_UDT1.xml )文件。
当您从“扫描”页面编辑文件夹而不对文件夹权限进行任何更改并单击保存按钮时,它会在 ActivityLog 表中创建一个条目,其操作标记为 3。操作 3 表示文件夹被编辑过。 如果您尚未编辑文件夹权限,则必须单击取消按钮退出该页面。
域名不排除在PostmanSoapUI工具通过 ADAC 客户端集成( .exd格式的文件)使用 API POST/jobs/生成的流量文件中{jobId}/dastconfig/更新流量/{action} 您必须使用 .dast.config.har
在 Windows 中更改 AppScan Enterprise 服务帐户的用户许可权时,扫描作业失败。 必须将服务帐户用户同时添加到 AppScan Enterprise 服务器和扫描程序机器上的 Windows 管理员组。
通过任务管理器终止 AppScanAgent 服务进程时,系统不会立即签入 HCL 扫描程序许可证。 建议再次通过服务启动和停止代理,以发行许可证。
如果在关闭 AppScan Enterprise Server 之前未注销用户,则打开的会话可能导致许可证未签回池中。未签回的许可证需在 2 小时后才能签回。 用户应先注销,然后再关闭 AppScan Enterprise Server。
在安装 AppScan Enterprise 时,如果系统中已经安装了更高版本的 Microsoft Visual C++ Redistributable 2017,则无法安装 Visual C++ 2015,因为该应用程序试图安装 Visual C++ 2015 Redistributable,而没有检查系统中是否存在较新的版本。 卸载 Visual C++ 2017 RC Redistributable,安装 AppScan Enterprise,然后重新安装 Visual C++ 2017 Redistributable。
产品内嵌的帮助以所有语言提供,但相关链接仅支持日语、法语、简体中文和繁体中文。 不适用。
如果扩展日志文件很大(超过 2 GB),则有时候从“扫描”选项卡摘要报告下载日志文件的操作可能会导致压缩文件的大小为 0 KB。 在这种情况下,请从 AppScan Enterprise 代理服务器的“Logs”目录中复制文件。
当您在 Dynamic Analysis Configuration Client 中编辑扫描时,确保您正在编辑的扫描未在 AppScan Enterprise 中运行;否则,当您更新扫描时,它可能会暂停作业。 在客户端的作业属性页面上,清除尽快运行作业复选框,然后单击更新作业
当扫描作业仅具有记录的登录(没有手动探索或起始 URL)时,扫描不会深入到该页面之下。 将至少一个 URL 添加到“手动浏览”“扫描内容”页面的起始 URL。
在代理和正在扫描的 Web 站点之间部署防火墙时,会有性能降低和出现错误否定结果的风险。 AppScan
如果用户定义的规范化规则生成了空 URL 字符串,那么扫描可能无法停止。 “作业属性”中定义了规范化规则时,请务必确保能生成有效 URL。
如果已针对报告执行了“问题管理”,那么“报告包摘要”报告将不与报告数据同步。 完成“问题管理”任务时,必须重新运行“报告包”,以同步数字。
删除报告不会将报告从仪表板中立即除去。 必须重新运行仪表板才能使更改生效。
对列表进行排序时,对于日语中文 使用.NETSQL排序规则以及特定于区域设置的排序规则,但该产品不符合 ICU。

在作业上进行编辑保存之前,ADAC 作业中断不适用于 9.0.

根本原因:应用程序中存在问题,即 ADAC 作业的起始 URL 未更新到 ASE 数据库中。由于中断会从 ASE 数据库读取域,因此这正是中断不适用于 ADAC 作业的原因。由于启动 URL 存储在 dast.config 文件中,现有作业必须进行手动编辑并保存,这样一来,URL 才会存储到 ASE 数据库中。

  1. 编辑 ADAC 作业(创建于 9.0.
  2. 执行作业更新。
  3. 中断应该按照配置进行工作(与内容扫描作业类似)。

在 AppScan Standard 中运行扫描并将结果导出为旧版 XML 文件以在 AppScan Enterprise 中使用后,在使用此 XML 文件时,它会作为导入作业运行。然后将其与 AppScan Enterprise 中的应用程序关联。但是,生成的安全报告不包括已访问 URL,尽管它们在原始 AppScan Standard 报告中可用。

不适用

而 AppScanActivity Recorder (AAR) 加密文件可以使用 AppScan Enterprise REST API 导入。

方法 1 :使用 AppScan REST API 进行加密文件导入:

使用 AppScan REST API ( POST /jobs/{jobId} /dastconfig/更新流量/{action} ) 导入加密文件。此方法绕过用户界面限制,并能够成功导入 AppScan-ADAC,从而使扫描能够正常运行。

方法 2 :考虑替代记录方法:

对于需要加密登录序列的场景,请考虑在执行 ADAC 作业时使用 ADAC 记录而不是 AAR。ADAC 录制可能会提供更大的灵活性,而不会遇到 AAR 上传中与加密相关的限制。

在 AppScan Enterprise 版本 10.4.0 中,以 PDF、HTML 或 XML 格式生成的安全报告显示每个漏洞组件问题的相同一般原因,而不管与其关联的特定常见漏洞和暴露 (CVE) ID。 不适用
从 ASE 服务器直接将 ADAC v10.5.0 或 v10.5.1 升级到较新版本失败,当 ASE 服务器上的 SSL 证书无效(过期、不受信任)时会发生这种情况。这是因为 ADAC 10.5.0 和 10.5.1 强制执行更严格的安全性并阻止使用无效证书的下载。

此问题的修复包含在 ADAC 10.6 及更高版本中。升级到 ADAC 10.6 或更高版本将解决此问题:

  1. 从 FNO 下载最新的 ADAC 版本(10.6 或更高版本)。
  2. 在目标机器上安装下载的 ADAC 版本。
注:
  • 此变通方法仅适用于 ASE 服务器上的 SSL 证书无效的情况。
  • 在 ASE 服务器上拥有有效 SSL 证书的用户不受此问题影响。
在使用 Windows Server 2016 和 TLS 1.2 时,OLEDB 无法正常工作。此问题阻止用户维护使用 TLS 1.2 的安全连接。

要解决此问题,请在机器上安装 SQL Native Client。您可以从以下链接下载 SQL Native Client:

下载 SQL Native Client

更多信息:
  • 如果需要在 Windows Server 2016 上使用 OLEDB 功能,用户可以暂时降级到 TLS 1.1。
  • 对于那些更喜欢使用 TLS 1.2 的用户,建议升级到 Windows Server 2019。
在 AppScan Enterprise v10.6.0 中,通用漏洞评分系统(CVSS)向量将仅显示为英文。对于非英文用户界面,向量将不可见。
AppScan Enterprise 不支持基于 AppScan Standard 模板的 OpenAPI 扫描。 在 AppScan Enterprise 中创建 OpenAPI 扫描 通过 AppScan Connect 从 AppScan Standard 创建 OpenAPI 扫描。
在导出的 XLS 文件中,“按业务单位划分的最大问题严重性”和“按业务单位划分的安全风险评级”部分显示每个业务单位(BU)的所有过滤的应用程序计数,而不是实际的应用程序计数。
单击仪表板上带有 过滤后的数据不会转移到投资组合选项卡上。因此 因此,"组合 "选项卡会显示具有相应状态的所有应用程序,而不是只显示 过滤后的应用程序。 用户必须从 "投资组合 "选项卡的 用户必须从 "组合 "选项卡的 "筛选器 "部分手动筛选应用程序。
将 SCA 问题从 AppScan on Cloud 导入到 AppScan Enterprise 时,不会显示 SCA 问题详细信息。 请联系 AppScan Enterprise L2 支持以接收补丁。