已知问题和变通方法
以下是已知问题及其变通方法。
| 问题 | 变通方法 |
|---|---|
|
如果在根据问题类型、严重性、扫描器或状态进行“分组”时,每个类别中的问题超过500个,我们不会显示额外的问题,并建议使用过滤器代替。过滤器也仅限于显示每种列类型的最多100个值。 |
删除“按组分类”选项,然后根据您想要用来显示结果的列类型对数据进行排序。 |
| 组件视图详细信息不能从AppScan Enterprise或AppScan标准导出或导入。然而,这些脆弱的组件可以作为问题导出或导入。 | 不适用 |
| 安全报告(xls,excel,xml或PDF)将不显示任何组件详情。 | 不适用 |
| 运行配置向导是更新CVE记录的唯一方式。在AppScan Enterprise安装后引入的新CVEs将无法识别出易受攻击的组件。 | 不适用 |
| 在活动日志中,日期过滤器显示指定日期范围之外多一天的数据。 | 不适用 |
| 对于没有CVSS 3.1属性的问题,不进行逾期计算。 | 不适用 |
| 对于所有在10.1.0或更早版本中扫描的并与应用程序相关联的问题,CVSS版本 = 2.0过滤器可能会同时显示CVSS 2.0和3.1的问题。 | 您可以根据列出所有CVSS 2.0问题的CVSS版本列对问题进行排序,该列首先基于版本对问题进行排序。 |
|
IAST .NET代理可能无法作为NuGet在一些.NET框架应用程序中安装,会出现错误“无法解析依赖项'MonoModReorg.RuntimeDetour'”。 |
在安装IAST代理之前,安装NuGet: |
| 当LDAP配置为ASE,并且扫描器和服务器安装在同一台机器上时,无法导入用户组并保存具有正确值的用户属性。 | 通过在服务器组件窗口中选择所有适用的组件(用户管理/企业控制台/IAST),重新运行配置向导,这些组件是您在之前的服务器配置中选择的,同时还包括动态分析扫描器。 |
| 严重性为“信息”的 IAST 问题将 CVSS 版本显示为 2.0,而不是 3.1。 | 忽略显示的版本,并将版本视为3.1,因为IAST是一个AppScan Enterprise扫描器。 |
| 扫描状态警报没有发送到配置的电子邮件地址。 | 重新启动警报服务。 |
| 从 10.0.8 升级到 10.1.0 时,IAST Java war 代理程序部署或连接会失败,并且它不与 AppScan Enterprise 交互。 | 先禁用然后再次启用该代理程序。 |
| 重新导入 Appscan Mobile Analyzer 和 AppScan Mobile Analyzer IOS 扫描程序概要文件问题会导致错误。 | 刷新“监控”选项卡。 |
| 重新测试某个问题可能导致问题状态被报告为“已修复”,即使问题实际上未修复也是如此。 | 如果站点需要认证,那么您必须在扫描级别设置强制登录,才能让“重新测试”提供正确的重新测试状态。 |
| 重新测试问题类型“Spring MVC 上的远程命令执行 (CVE-2022-22965)”可能导致问题状态被报告为“已修复”而不是“已重新打开”,即使问题实际上未修复也是如此。 | 建议对应用程序运行完全扫描,以确认此问题类型是否已修复。 |
| 在“监控”选项卡中,单击问题时不会显示问题详细信息,而是显示错误消息“CRWAS9999E 发生了未知错误”。如果问题详细信息的文本内容较多,就会出现此问题。 | 浏览至 <ASE 安装目录>\AppScan Enterprise\Liberty\usr\servers\<服务器实例>,将 -Xss1024m 这一行添加到 jvm.options 中,然后重新启动“HCL AppScan Enterprise Server”服务。 |
| 代理进程服务显示“检查许可证”状态。 | 在扫描程序机器上重新启动“HCL AppScan Agent 服务”。 |
|
对于 DAST 代理,当使用 Firefox 浏览器记录流量时,不会自动检测会话中。 |
通过选择主页 URL 并单击会话中按钮手动添加会话中,或在记录流量之前,关闭任何会产生大量流量的 Firefox 插件,例如 Clockify。 |
| 移除 OWASP 2017 并支持 OWASP 2021 报告:10. | 如果需要,用户必须手动移除 OWASP Top 10 2017,并将 OWASP Top 10 2021 添加到所有现有扫描的报告包,同时运行报告包。 |
| 在“IAST 代理程序”页面中,您可能会遇到一些 UI 故障,如下所示: | |
| 单击操作下拉列表中的生成密钥按钮时,没有响应。 | 请刷新页面并重试。 |
| 在生成密钥弹出窗口中,当您单击生成按钮时,没有响应。 | 请勿多次单击。等待大约一分钟,如果仍没有响应,请关闭弹出窗口并重试。 |
| 重新生成 Node.js 代理程序密钥时,包大小可能会增加。 | 这一点可以忽略,因为它在大多数情况下都有效。 |
| 如果下载的 Node.js 代理程序没有相应的代理程序密钥。 | 重新生成代理程序密钥并再次下载代理程序。 |
| 对于 SAST 问题,在“扫描”选项卡中运行导入的作业时,它现在为常见问题生成用户友好的名称。“监控”选项卡继续使用旧格式的标识,以与之前的发行版保持一致,并且以后将使用用户友好名称进行更新。因此,如果使用同一应用程序将源数据直接导入“监控”选项卡,并且将同一应用程序链接到“扫描”选项卡中运行的源导入作业,那么您可能会注意到不同问题类型下分类的一些问题(例如 SQL 注入和跨站点脚本编制)。 | 如果您要将多个SAST问题导入到AppScan Enterprise,建议您对所有问题使用相同的机制:要么在监视器选项卡中导入所有扫描,要么在扫描选项卡中运行所有作业作为导入作业,并链接到应用程序。对功能没有影响;此问题仅影响显示。 |
| 支付卡行业数据安全标准 (PCI) 报告的日语版本省略了合规性详细信息。 | 有关此问题的详细信息,请参阅以下缺陷文章:https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0094517 |
当 AppScan Enterprise UI 语言设置为除英语外的其他语言时,可能会发生以下问题:
|
任何语言设置更改都不会对 UI 功能产生任何影响,但此信息将以英语提供。因此,建议继续使用该功能,直到这些问题在后续发行版中得到解决为止。 |
| 如果用户已为使用中的端口配置“修复方法”,则用户在尝试访问“问题”详细信息和访问“修复方法”链接时,将不会在 UI 中看到相应的错误消息。 | 重新运行配置向导,将“修复方法”指向另一个端口。 |
| 假设用户在ASE UI中上传了一个用户定义的测试文件,那么它将显示一个错误消息:连接到咨询服务服务器时出错。 | UDT 文件将成功导入到 AppScan Enterprise,但是用户在 UI 或报告中看不到 UDT issueTypeIds“修复方法”信息。 要查看 UDT issueTypeIds 的“修复方法”xml 信息,请执行以下操作:
|
| 当你在扫描的页面上编辑一个文件夹,但没有对文件夹的权限做任何更改,然后点击保存按钮时,它会在活动日志表中做一个标记为3的动作条目。操作3表示文件夹已被编辑。 | 如果未编辑文件夹许可权,必须单击取消按钮以退出页面。 |
| 域名并未从通过ADAC客户端集成(.exd格式的文件)使用API POST/jobs/{jobId}/dastconfig/updatetraffic/{action}生成的Postman或SoapUI工具的流量文件中排除。 | 您必须使用.dast、.config或.har文件来从流量文件中排除某个域的流量。 |
| 在 Windows 中更改 AppScan Enterprise 服务帐户的用户许可权时,扫描作业失败。 | 必须将服务帐户用户同时添加到 AppScan Enterprise 服务器和扫描程序机器上的 Windows 管理员组。 |
| 通过任务管理器终止 AppScan Agent 服务进程时,系统不会立即签入 HCL 扫描程序许可证。发行许可证大约需要 15 分钟的时间。 | 建议再次通过服务启动和停止代理,以发行许可证。 |
| 如果在关闭 AppScan Enterprise Server 之前未注销用户,则打开的会话可能导致许可证未签回池中。未签回的许可证需在 2 小时后才能签回。 | 用户应先注销,然后再关闭 AppScan Enterprise Server。 |
| 在安装 AppScan Enterprise 时,如果系统中已经安装了更高版本的 Microsoft Visual C++ Redistributable 2017,则无法安装 Visual C++ 2015,因为该应用程序试图安装 Visual C++ 2015 Redistributable,而没有检查系统中是否存在较新的版本。 | 卸载 Visual C++ 2017 RC Redistributable,安装 AppScan Enterprise,然后重新安装 Visual C++ 2017 Redistributable。 |
| 产品内嵌的帮助以所有语言提供,但相关链接仅支持日语、法语、简体中文和繁体中文。 | 不适用。 |
| 如果扩展日志文件很大(超过 2 GB),则有时候从“扫描”选项卡摘要报告下载日志文件的操作可能会导致压缩文件的大小为 0 KB。 | 在这种情况下,请从 AppScan Enterprise 代理服务器的“Logs”目录中复制文件。 |
| 在动态分析配置客户机中编辑扫描时,请确保正在编辑的扫描未在 AppScan Enterprise 中运行;否则,在更新扫描时该扫描可能会暂挂。 | 请在客户机的“作业属性”页面上,取消选中“尽快运行作业”复选框,然后单击“更新作业”。 |
| 当扫描作业仅具有记录的登录(没有手动探索或起始 URL)时,扫描不会深入到该页面之下。 | 向“扫描内容”页面的手动探索或起始 URL 至少添加一个 URL。 |
| 在代理和正在扫描的 Web 站点之间部署防火墙时,会有性能降低和出现错误否定结果的风险。 | AppScan Enterprise Server 发送的安全性任务可能被某些防火墙产品标记为可疑网络活动。 |
| 如果用户定义的规范化规则生成了空 URL 字符串,那么扫描可能无法停止。 | “作业属性”中定义了规范化规则时,请务必确保能生成有效 URL。 |
| 如果已针对报告执行了“问题管理”,那么“报告包摘要”报告将不与报告数据同步。 | 完成“问题管理”任务时,必须重新运行“报告包”,以同步数字。 |
| 删除报告不会将报告从仪表板中立即除去。 | 必须重新运行仪表板才能使更改生效。 |
| 对列表进行排序时,整理顺序可能不会按照预期进行:日语和中文。 | 将使用 .NET 和 SQL 整理以及特定于语言环境的整理,但本产品不依从 ICU。 |
|
在作业上进行编辑保存之前,ADAC 作业中断不适用于 9.0.3.11 之前创建的作业。 根本原因:应用程序中存在一个问题,即ADAC作业的起始URL没有更新到ASE数据库中。由于中断会从 ASE 数据库读取域,因此这正是中断不适用于 ADAC 作业的原因。由于启动 URL 存储在 dast.config 文件中,现有作业必须进行手动编辑并保存,这样一来,URL 才会存储到 ASE 数据库中。 |
|
|
在AppScan标准中运行扫描并将结果导出为旧版XML文件以供AppScan Enterprise使用后,这个XML文件被作为导入的工作运行。这个随后与AppScan Enterprise中的一个应用程序关联起来。然而,生成的安全报告并未包含访问过的网址,尽管它们在原始的AppScan标准报告中是可用的。 |
不适用 |
|
虽然AppScan活动记录器(AAR)加密文件可以使用AppScan Enterprise REST APIs进行导入。在内容扫描工作中,如果直接通过AppScan 动态分析客户端(ADAC)用户界面尝试,它们是不受支持的。 |
方法1:使用AppScan REST APIs进行加密文件导入: 使用AppScan REST APIs(POST /jobs/{jobId}/dastconfig/updatetraffic/{action})来导入加密文件。这种方法绕过了用户界面的限制,使得成功导入AppScan-ADAC成为可能,从而使扫描能够正确运行。 方法2:考虑替代的记录方法:对于需要加密登录序列的场景,考虑在执行ADAC作业时使用ADAC录制而不是AAR。ADAC录音可能提供更多的灵活性,而不会遇到与AAR上传相关的加密限制。 |
| 在AppScan Enterprise版本10.4.0中,无论与其相关联的特定公共漏洞和暴露(CVE)ID如何,生成的PDF、HTML或XML格式的安全报告都会显示每个易受攻击组件问题的相同通用原因。 | 不适用 |
| 当ASE服务器上的SSL证书无效(过期,不受信任)时,直接从ASE服务器升级ADAC v10.5.0或v10.5.1到较新的版本会失败。这是因为ADAC 10.5.0和10.5.1实施了更严格的安全措施,并阻止了具有无效证书的下载。 |
此问题的修复包含在ADAC版本10.6及以后版本中。升级到ADAC 10.6或更高版本将解决此问题:
Note:
|
| 当使用Windows Server 2016和TLS 1.2时,OLEDB无法正常工作。此问题阻止用户与TLS 1.2保持安全连接。 |
要解决这个问题,需要在机器上安装SQL Native Client。您可以从以下链接下载SQL Native Client:
其他信息:
|
| 在AppScan Enterprise v10.6.0中,Common Vulnerability Scoring System(CVSS)向量将仅以英文显示。该向量对非英语用户界面将不可见。 | 不适用 |
| 基于AppScan标准的模板的OpenAPI扫描在AppScan Enterprise中不受支持。 | 在AppScan Enterprise中通过AppScan Connect创建AppScan标准的OpenAPI扫描。 |
| 在导出的XLS文件中,“按业务单位划分的问题严重性(最大值)”和“按业务单位划分的安全风险评级”部分显示的是每个业务单位(BU)的所有过滤应用计数,而不是实际的应用计数。 | 不适用 |
| 在仪表板上点击已过滤数据的链接并不会将过滤器带到投资组合标签页。因此,投资组合标签页显示所有应用程序及其对应的状态,而不仅仅是过滤后的应用程序。 | 用户必须从投资组合标签页的过滤器部分手动过滤应用程序。 |
| 当从AppScan在云上导入SCA问题到AppScan Enterprise时,SCA问题的详细信息没有显示。 | 联系AppScan Enterprise L2支持以获取补丁。 |
在PDF报告中,文件:或URL:属性缺失。此属性在导出的XML文件中也不存在,导致它在PDF或HTML报告中无法显示。这个问题出现在版本AppScan Enterprise 10.6.0中。 |
目前,没有立即可用的修复方案。需要进行模式级别的更改来解决这个问题。然而,下一版本将会引入一个新的软件组成分析(SCA)扫描器,这将解决这个问题。 |
| DAST工作报告包可能在完成后无法正确显示。 | 刷新页面并重新打开报告包。这通常会在第二次尝试时解决问题。 |
| 当升级到AppScan Enterprise v10.8.0并使用大型数据库时,由于默认模板的升级,配置向导可能需要比平时更长的时间来完成。然而,这个过程将会自行成功完成。新的安装进程在预期的时间范围内进行。没有可用的解决方法,计划在未来的版本中修复。 | 不适用 |
| 当应用程序名称包含特殊字符,如“IAST-(InternalScan)”,IAST Agents选项卡中的问题计数无法正确显示。这包括不同严重程度的问题计数缺失,以及其他相关代理详细信息也未按预期显示。 | 不适用 |
| 有时,在服务器配置向导中使用 MHS 许可证文件时,可能会发生许可证验证错误。尝试配置用户管理、企业控制台或动态分析扫描仪等组件时会发生此错误。 | 点击返回按钮,返回到许可证屏幕以继续进行配置。 |
在使用API端点get /license/decryptedData时,响应体会显示一个null的到期日期,用于永久许可证。这是一个问题,因为永久许可证不应有过期日期,但API错误地返回null,而不是指出过期不适用。 |
不适用 |
| 当尝试使用独立启动的 AppScan Dynamic Analysis Client
(ADAC) 中的客户端证书或智能卡选项登录 AppScan Enterprise 服务器时,登录失败并显示错误消息:
|
从 AppScan Enterprise 浏览器控制台启动 ADAC,而不是独立启动它。 |