已知问题和变通方法
以下是已知问题及其变通方法。
| 问题 | 变通方法 |
|---|---|
|
如果在根据 IssueType、Severity、Scanner 或 Status “分组”问题时,每个类别中有超过 500 个问题,我们不会显示额外的问题,并建议使用过滤器。过滤器也仅限于显示每种列类型的最多100个值。 |
移除“分组依据”选项,然后根据您想用来显示结果的列类型对数据进行排序。 |
| 组件视图详细信息无法从 AppScan Enterprise 或 AppScan 标准导出或导入。然而,易受攻击的组件可以作为问题导出或导入。 | 不适用 |
| 安全报告(xls、excel、xml或PDF)将不显示任何组件的详细信息。 | 不适用 |
| 运行配置向导是更新CVE记录的唯一途径。在 AppScan Enterprise 安装之后引入的新CVE将不会被识别为易受攻击的组件。 | 不适用 |
| 在活动日志中,日期过滤器显示指定日期范围之外多一天的数据。 | 不适用 |
| 未对没有 CVSS 3.1 属性的问题进行逾期计算 | 不适用 |
| 对于在版本10.1.0或更早版本中扫描并与应用程序相关联的所有问题,CVSS版本=2.0过滤器可能会显示CVSS 2.0和3.1的问题。 | 您可以根据CVSS版本列对问题进行排序,该列会首先列出所有基于版本的CVSS 2.0问题。 |
|
IAST .NET 代理可能无法作为 NuGet 在某些 .NET 框架应用程序中安装,并出现错误“无法解析依赖项‘MonoModReorg.RuntimeDetour’”。 |
在安装 IAST 代理之前,先安装 NuGet: |
| 在配置LDAP为ASE时,无法导入用户组,并且当扫描器和服务器安装在同一台机器上时,无法以正确的值保存用户属性。 | 重新运行配置向导,在服务器组件窗口中选择所有适用的组件(用户管理/企业控制台/IAST),这些是您之前在服务器配置期间选择的组件,以及动态分析扫描器。 |
| 严重性为“信息”的 IAST 问题将 CVSS 版本显示为 2.0,而不是 3.1。 | 忽略显示的版本,并将版本视为3.1,因为IAST是一个AppScan Enterprise扫描仪。 |
| 扫描状态警报没有发送到配置的电子邮件地址。 | 重新启动警报服务。 |
| 从 10.0.8 升级到 10.1.0 时,IAST Java war 代理程序部署或连接会失败,并且它不与 AppScan Enterprise 交互。 | 先禁用然后再次启用该代理程序。 |
| 重新导入 Appscan Mobile Analyzer 和 AppScan Mobile Analyzer IOS 扫描程序概要文件问题会导致错误。 | 刷新“监控”选项卡。 |
| 重新测试某个问题可能导致问题状态被报告为“已修复”,即使问题实际上未修复也是如此。 | 如果站点需要认证,那么您必须在扫描级别设置强制登录,才能让“重新测试”提供正确的重新测试状态。 |
| 重新测试问题类型“Spring MVC 上的远程命令执行 (CVE-2022-22965)”可能导致问题状态被报告为“已修复”而不是“已重新打开”,即使问题实际上未修复也是如此。 | 建议对应用程序运行完全扫描,以确认此问题类型是否已修复。 |
| 在“监控”选项卡中,单击问题时不会显示问题详细信息,而是显示错误消息“CRWAS9999E 发生了未知错误”。如果问题详细信息的文本内容较多,就会出现此问题。 | 浏览至 <ASE 安装目录>\AppScan Enterprise\Liberty\usr\servers\<服务器实例>,将 -Xss1024m 这一行添加到 jvm.options 中,然后重新启动“HCL AppScan Enterprise Server”服务。 |
| 代理进程服务显示“检查许可证”状态。 | 在扫描程序机器上重新启动“HCL AppScan Agent 服务”。 |
|
对于 DAST 代理,当使用 Firefox 浏览器记录流量时,不会自动检测会话中。 |
通过选择主页 URL 并单击会话中按钮手动添加会话中,或在记录流量之前,关闭任何会产生大量流量的 Firefox 插件,例如 Clockify。 |
| 移除 OWASP 2017 并支持 OWASP 2021 报告:10. | 如果需要,用户必须手动移除 OWASP Top 10 2017,并将 OWASP Top 10 2021 添加到所有现有扫描的报告包,同时运行报告包。 |
| 在“IAST 代理程序”页面中,您可能会遇到一些 UI 故障,如下所示: | |
| 单击操作下拉列表中的生成密钥按钮时,没有响应。 | 请刷新页面并重试。 |
| 在生成密钥弹出窗口中,当您单击生成按钮时,没有响应。 | 请勿多次单击。等待大约一分钟,如果仍没有响应,请关闭弹出窗口并重试。 |
| 重新生成 Node.js 代理程序密钥时,包大小可能会增加。 | 这一点可以忽略,因为它在大多数情况下都有效。 |
| 如果下载的 Node.js 代理程序没有相应的代理程序密钥。 | 重新生成代理程序密钥并再次下载代理程序。 |
| 对于 SAST 问题,在“扫描”选项卡中运行导入的作业时,它现在为常见问题生成用户友好的名称。“监控”选项卡继续使用旧格式的标识,以与之前的发行版保持一致,并且以后将使用用户友好名称进行更新。因此,如果使用同一应用程序将源数据直接导入“监控”选项卡,并且将同一应用程序链接到“扫描”选项卡中运行的源导入作业,那么您可能会注意到不同问题类型下分类的一些问题(例如 SQL 注入和跨站点脚本编制)。 | 如果您将多个SAST问题导入AppScan Enterprise,建议对所有问题使用相同的机制:要么在Monitor选项卡中导入所有扫描,要么在Scans选项卡中将所有作业作为导入作业运行,并链接到应用程序。对功能没有影响;此问题仅影响显示。 |
| 支付卡行业数据安全标准 (PCI) 报告的日语版本省略了合规性详细信息。 | 有关此问题的详细信息,请参阅以下缺陷文章:https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0094517 |
当 AppScan Enterprise UI 语言设置为除英语外的其他语言时,可能会发生以下问题:
|
任何语言设置更改都不会对 UI 功能产生任何影响,但此信息将以英语提供。因此,建议继续使用该功能,直到这些问题在后续发行版中得到解决为止。 |
| 如果用户已为使用中的端口配置“修复方法”,则用户在尝试访问“问题”详细信息和访问“修复方法”链接时,将不会在 UI 中看到相应的错误消息。 | 重新运行配置向导,将“修复方法”指向另一个端口。 |
| 当用户在 ASE UI 中上传 用户定义测试 文件时,将显示一条错误消息:连接到咨询服务服务器时出错。 | UDT 文件将成功导入到 AppScan Enterprise,但是用户在 UI 或报告中看不到 UDT issueTypeIds“修复方法”信息。 要查看 UDT issueTypeIds 的“修复方法”xml 信息,请执行以下操作:
|
| 当您在Scan页面编辑文件夹而不更改文件夹的权限并点击保存按钮时,它会在ActivityLog表中创建一个条目,操作标记为3。动作3表示文件夹已被编辑。 | 如果未编辑文件夹许可权,必须单击取消按钮以退出页面。 |
| 域名未从通过ADAC客户端集成(使用API POST/jobs/{jobId}/dastconfig/updatetraffic/{action} 生成的.exd格式文件)由Postman或SoapUI工具生成的流量文件中排除。 | 您必须使用.dast、.config或.har文件来从流量文件中排除某个域的流量。 |
| 在 Windows 中更改 AppScan Enterprise 服务帐户的用户许可权时,扫描作业失败。 | 必须将服务帐户用户同时添加到 AppScan Enterprise 服务器和扫描程序机器上的 Windows 管理员组。 |
| 通过任务管理器终止 AppScan Agent 服务进程时,系统不会立即签入 HCL 扫描程序许可证。发行许可证大约需要 15 分钟的时间。 | 建议再次通过服务启动和停止代理,以发行许可证。 |
| 如果在关闭 AppScan Enterprise Server 之前未注销用户,则打开的会话可能导致许可证未签回池中。未签回的许可证需在 2 小时后才能签回。 | 用户应先注销,然后再关闭 AppScan Enterprise Server。 |
| 在安装 AppScan Enterprise 时,如果系统中已经安装了更高版本的 Microsoft Visual C++ Redistributable 2017,则无法安装 Visual C++ 2015,因为该应用程序试图安装 Visual C++ 2015 Redistributable,而没有检查系统中是否存在较新的版本。 | 卸载 Visual C++ 2017 RC Redistributable,安装 AppScan Enterprise,然后重新安装 Visual C++ 2017 Redistributable。 |
| 产品内嵌的帮助以所有语言提供,但相关链接仅支持日语、法语、简体中文和繁体中文。 | 不适用。 |
| 如果扩展日志文件很大(超过 2 GB),则有时候从“扫描”选项卡摘要报告下载日志文件的操作可能会导致压缩文件的大小为 0 KB。 | 在这种情况下,请从 AppScan Enterprise 代理服务器的“Logs”目录中复制文件。 |
| 在动态分析配置客户机中编辑扫描时,请确保正在编辑的扫描未在 AppScan Enterprise 中运行;否则,在更新扫描时该扫描可能会暂挂。 | 请在客户机的“作业属性”页面上,取消选中“尽快运行作业”复选框,然后单击“更新作业”。 |
| 当扫描作业仅具有记录的登录(没有手动探索或起始 URL)时,扫描不会深入到该页面之下。 | 向“扫描内容”页面的手动探索或起始 URL 至少添加一个 URL。 |
| 在代理和正在扫描的 Web 站点之间部署防火墙时,会有性能降低和出现错误否定结果的风险。 | AppScan Enterprise Server 发送的安全性任务可能被某些防火墙产品标记为可疑网络活动。 |
| 如果用户定义的规范化规则生成了空 URL 字符串,那么扫描可能无法停止。 | “作业属性”中定义了规范化规则时,请务必确保能生成有效 URL。 |
| 如果已针对报告执行了“问题管理”,那么“报告包摘要”报告将不与报告数据同步。 | 完成“问题管理”任务时,必须重新运行“报告包”,以同步数字。 |
| 删除报告不会将报告从仪表板中立即除去。 | 必须重新运行仪表板才能使更改生效。 |
| 对列表进行排序时,整理顺序可能不会按照预期进行:日语和中文。 | 将使用 .NET 和 SQL 整理以及特定于语言环境的整理,但本产品不依从 ICU。 |
|
在作业上进行编辑保存之前,ADAC 作业中断不适用于 9.0.3.11 之前创建的作业。 根本原因:应用程序中存在一个问题,即起始URL未能更新到ASE数据库中的ADAC作业。由于中断会从 ASE 数据库读取域,因此这正是中断不适用于 ADAC 作业的原因。由于启动 URL 存储在 dast.config 文件中,现有作业必须进行手动编辑并保存,这样一来,URL 才会存储到 ASE 数据库中。 |
|
|
在 AppScan 标准中运行扫描并将结果导出为旧版 XML 文件以用于 AppScan Enterprise,使用此 XML 文件后,它被作为导入作业运行。这随后与AppScan Enterprise中的一个应用程序相关联。然而,生成的安全报告不包括访问过的URL,尽管它们在原始AppScan标准报告中是可用的。 |
不适用 |
|
虽然 AppScan 活动记录器 (AAR) 加密文件可以通过 AppScan Enterprise REST API 导入。在内容扫描任务中,如果直接通过AppScan 动态分析客户端(ADAC)用户界面尝试,它们是不被支持的。 |
方法一:使用 AppScan REST API 进行加密文件导入: 使用 AppScan REST API (POST /jobs/{jobId}/dastconfig/updatetraffic/{action}) 来导入加密文件。此方法绕过用户界面的限制,使得可以成功导入到AppScan-ADAC,从而允许扫描正常运行。 方法二:考虑替代的记录方法:在需要加密登录序列的场景中,建议在执行ADAC作业时使用ADAC录制而非AAR。ADAC录音可能提供更多灵活性,而不会遇到AAR上传时的加密相关限制。 |
| 在AppScan Enterprise版本10.4.0中,生成的PDF、HTML或XML格式的安全报告对于每个易受攻击组件问题显示相同的通用原因,而不考虑与之关联的具体公共漏洞和暴露(CVE)ID。 | 不适用 |
| 从 ASE 服务器直接将 ADAC v10.5.0 或 v10.5.1 升级到更新版本时,如果 ASE 服务器上的 SSL 证书无效(过期、不受信任),则会失败。这发生是因为ADAC 10.5.0和10.5.1实施了更严格的安全措施,并阻止了使用无效证书的下载。 |
此问题的修复包含在 ADAC 版本 10.6 及更高版本中。升级到 ADAC 10.6 或更高版本将解决该问题:
注:
|
| 在使用 Windows Server 2016 和 TLS 1.2 时,OLEDB 无法正常运行。此问题阻止用户与 TLS 1.2 保持安全连接。 |
要解决此问题,请在机器上安装 SQL Native Client。您可以从以下链接下载 SQL Native Client:
其他信息:
|
| 在 AppScan Enterprise v10.6.0 中,Common Vulnerability Scoring System (CVSS) 向量将仅以英文显示。矢量在非英语用户界面中将不可见。 | 不适用 |
| 基于 AppScan 标准模板的 OpenAPI 扫描在 AppScan Enterprise 中不受支持。 | 在AppScan Enterprise中通过AppScan Connect从AppScan标准创建OpenAPI扫描。 |
| 在导出的XLS文件中,“按业务单元划分的最大问题严重性”和“按业务单元划分的安全风险评级”部分显示的是每个业务单元(BU)的所有过滤后的应用程序数量,而不是实际的应用程序数量。 | 不适用 |
| 单击仪表板上带有过滤数据的链接不会将过滤器传递到投资组合选项卡。因此,<em>投资组合</em>选项卡显示所有应用程序及其相应状态,而不仅仅是过滤后的应用程序。 | 用户必须从“投资组合”选项卡的过滤器部分手动筛选应用程序。 |
| 从 AppScan 在云端导入 SCA 问题到 AppScan Enterprise 时,SCA 问题详情未显示。 | 联系 AppScan Enterprise L2 支持以获取补丁。 |
在PDF报告中,文件:或URL:属性缺失。此属性在导出的XML文件中也缺失,因此不会在PDF或HTML报告中显示。此问题出现在版本 AppScan Enterprise 10.6.0。 |
目前没有立即可用的修复方案。要解决此问题,需要进行架构级别的更改。然而,在下一个版本中将引入一个新的软件组成分析(SCA)扫描器,这将解决此问题。 |
| DAST作业报告包在完成后可能无法正确显示。 | 刷新页面并重新打开报告包。这通常在第二次尝试时能解决问题。 |
| 在将 AppScan Enterprise 升级到 v10.8.0 时,如果数据库较大,由于默认模板的升级,配置向导可能需要比平常更长的时间才能完成。然而,该过程将会自动成功完成。全新安装在预期时间内进行。目前没有可用的解决方法,计划在未来的版本中进行修复。 | 不适用 |
| 当应用程序名称包含特殊字符时,例如“IAST-(InternalScan)”,IAST代理选项卡中的问题计数无法正确显示。这包括不同严重级别的缺失问题计数,以及其他相关的代理详细信息也未如预期显示。 | 不适用 |
| 有时,当在服务器配置向导中使用 MHS 许可证文件时,可能会出现许可证验证错误。在尝试配置用户管理、企业控制台或动态分析扫描器等组件时,会发生此错误。 | 点击返回按钮并返回到许可屏幕以继续进行配置。 |
在使用API端点get /license/decryptedData时,响应主体显示永久许可证的null到期日期。这是一个问题,因为永久许可证不应该有到期日期,但API错误地返回null,而不是指示到期不适用。 |
不适用 |
| 在尝试使用客户端证书或智能卡选项从AppScan动态分析客户端(ADAC)独立启动时登录AppScan Enterprise服务器时,登录失败并显示错误消息:
|
从 AppScan Enterprise 浏览器控制台启动 ADAC,而不是独立启动。 |
卸载 AppScan Enterprise v10.9.0 后,即使拥有管理员权限,您也无法删除安装目录中的某些文件和文件夹。错误信息显示文件正在被javawe.exe进程占用。 |
卸载完成后重启机器。然后,您可以删除剩余的文件夹结构。 |