已知問題與暫行解決方法

以下是已知問題和其暫行解決方法。

Table 1. 已知問題與暫行解決方法
問題 暫行解決方法

如果在每個類別中有超過 500 個問題,當您根據 <uicontrol>IssueType</uicontrol>、<uicontrol>Severity</uicontrol>、<uicontrol>Scanner</uicontrol> 或 <uicontrol>Status</uicontrol> 來<uicontrol>Group by</uicontrol> 問題時,我們不會顯示額外的問題,並建議使用篩選器。篩選器也僅限於顯示每個欄位類型的最多 100 個值。

 移除 <uicontrol>Group by</uicontrol> 選項,然後根據您想用來顯示結果的欄位類型排序數據。
<uicontrol>Components</uicontrol> 檢視詳細資料無法從 <uicontrol>AppScan Enterprise</uicontrol> 或 <uicontrol>AppScan Standard</uicontrol> 匯出或匯入。然而,易受攻擊的元件可以作為問題匯出或匯入。 N/A
<uicontrol>Security Reports</uicontrol> (xls, excel, xml 或 PDF) 不會顯示任何元件詳細資料。 N/A
運行配置嚮導是更新 CVE 記錄的唯一方法。在安裝 <uicontrol>AppScan Enterprise</uicontrol> 之後引入的新 CVE 不會被識別為易受攻擊的元件。 N/A
在 <uicontrol>Activity log</uicontrol> 中,<uicontrol>Date Filter</uicontrol> 顯示的數據比指定的日期範圍多一天。 N/A
對於沒有 CVSS 3.1 屬性的問題,不會進行逾期計算 N/A
對於在版本 10.1.0 或更早版本中掃描並與應用程式關聯的所有問題,<uicontrol>CVSS Version = 2.0</uicontrol> 篩選器可能會顯示 CVSS 2.0 和 3.1 的問題。 您可以根據列出所有 CVSS 2.0 問題的 <uicontrol>CVSS Version</uicontrol> 欄位排序問題。

<uicontrol>IAST .NET agent</uicontrol> 可能無法作為 <uicontrol>NuGet</uicontrol> 在某些 .NET 框架應用程式中安裝,並出現錯誤 “無法解析依賴項 'MonoModReorg.RuntimeDetour'”。

在安裝 IAST 代理之前,請安裝 NuGet:'MonoModReorg.RuntimeDetour',版本 22.11.21-prerelease.2。確保在 Visual Studio 的 NuGet 標籤中選中預發佈複選框。您現在可以將 IAST 代理作為 NuGet 安裝。
當 LDAP 配置為 ASE 且掃描器和服務器安裝在同一台機器上時,無法導入用戶組並以正確的值保存用戶屬性 通過在服務器組件窗口中選擇所有適用的組件(<uicontrol>User Administration</uicontrol>/<uicontrol>Enterprise Console</uicontrol>/<uicontrol>IAST</uicontrol>)以及動態分析掃描器,重新運行配置向導。
IAST 問題的嚴重性為'Information'時顯示的 CVSS 版本為 2.0 而不是 3.1。 忽略顯示的版本,並將版本視為 3.1,因為 IAST 是一個 AppScan Enterprise 掃描器。
掃描狀態警示不會傳送至已設定的電子郵件地址。 請重新啟動警示服務。
當您從 10.0.8 升級至 10.1.0 時,IAST java war 代理程式部署或連線功能會失敗,且不會與 AppScan Enterprise 互動。 請停用代理程式,然後重新啟用。
重新匯入 Appscan Mobile Analyzer 和 AppScan Mobile Analyzer IOS 掃描器設定檔的問題會導致錯誤。 重新整理監視器標籤。
重新測試問題可能會導致問題狀態被報告為「已修正」,即使問題實際上並未修正也一樣。 如果您的網站需要鑑別,您必須在掃描層次設定登入,「重新測試」功能才能提供正確的重新測試狀態。
重新測試問題類型「Spring MVC (CVE-2022-22965) 上的遠端指令執行」可能會導致問題狀態被報告為「已修正」而非「重新開啟」,即使問題實際上並未修正也一樣。 建議您執行應用程式的完整掃描,以確認此問題類型是否已修正。
在「監控」分頁中,當您按一下問題時,不會顯示問題詳細資料。不過,錯誤訊息「CRWAS9999E 發生不明錯誤」會顯示。如果問題詳細資料的文字內容大小很大,就會發生這個問題。 導覽至 <ASE install Dir>\AppScan Enterprise\Liberty\usr\servers\<server instance>,然後將行 -Xss1024m 新增至 jvm.options,然後重新啟動「HCL AppScan Enterprise 伺服器」服務。
代理程式服務會顯示「檢查授權」狀態。 在掃描器機器上重新啟動「HCL AppScan 代理程式服務」。

若為 DAST Proxy,當使用 Firefox 瀏覽器記錄資料流量時,不會自動偵測「階段作業內」。

 手動新增「階段作業內」,方法是選取主頁面 URL,然後按一下階段作業內按鈕,或在記錄資料流量之前,關閉任何會產生大量資料流量的 Firefox 外掛程式,例如 Clockify。
移除 OWASP 2017 並支持 OWASP 2021 報告:所有在 10.0.7 之前創建的報告包和報告包模板將具有 OWASP 2017 報告。 如有必要,使用者必須手動移除 OWASP Top 10 2017,並將 OWASP Top 10 2021 新增至所有現有掃描的報告套件,然後執行報告套件。
在 IAST 代理程式頁面中,您可能會遇到一些使用者介面故障,如下所示:
當您從動作下拉清單中按一下產生金鑰按鈕時,沒有反應。 請重新整理此頁面,然後再試一次。
在產生金鑰的蹦現畫面中,當您按一下產生按鈕時,沒有反應。 請勿多次點按。等待大約一分鐘。如果沒有反應,請關閉蹦現畫面,然後再試一次。
當您重新產生 Node.js 代理程式的金鑰時,套件大小可能會增加。 在大部分情況下,這都可以忽略,因為可以正常運作。
如果下載的 Node.js 代理程式沒有適當的代理程式金鑰。 請重新產生代理程式金鑰,並再次下載代理程式。
對於 SAST 問題,當匯入的工作在「掃描」分頁中執行時,現在會針對一般問題產生容易記住的名稱。「監視」分頁會繼續使用較舊的 ID 格式,以便與舊版保持一致,且未來會更新為容易記住的名稱。因此,如果您使用相同的應用程式直接將來源資料匯入「監視」分頁,並將相同的應用程式連結至「掃描」分頁中執行的「來源」匯入工作,則您可能會發現歸類在不同問題類型底下的一些問題(例如 SQL 注入、跨網站 Scripting)。 如果將多個 SAST 問題導入到 AppScan Enterprise,建議對所有問題使用相同的機制:要麼在<uicontrol>Monitor</uicontrol>標籤中導入所有掃描,要麼在<uicontrol>Scans</uicontrol>標籤中將所有作業作為導入作業運行並鏈接到應用程序。這不會影響功能;這個問題只會影響顯示畫面。
AppScan Enterprise 使用者介面語言設定為英文以外的任何其他語言時,可能會看到下列問題:
  • 在「監視」分頁中,當導覽至「掃描問題」的「關於問題」頁面時,「推斷資訊」一律會以英文顯示。
  • 使用者介面語言設定為西班牙文(西班牙)時,「參照 API」連結和「如何修正」報告內容會以英文顯示。
  • 當您從「監視」分頁中選取不同的語言和匯出問題時,IssueType 名稱會以英語顯示。
  • 切換到其他語言時,「掃描」分頁中的「如何修正」(不同程式設計語言內容)會以之前的語言顯示。
  • ase_plan.pdf 和 Readme 檔案並未翻譯。
 語言設定中的任何變更都不會以任何方式影響使用者介面功能,但這些資訊將會以英文提供。因此,建議繼續使用此功能,直到後續版本解決這些問題為止。
當使用者已將「如何修正」配置到使用中的埠時,使用者嘗試存取「問題詳細資料」,以及存取「如何修正」連結時,將不會從 UI 中看到適當的錯誤訊息。 重新執行將「如何修正」指向不同埠的配置精靈。
給定用戶在 ASE UI 中上傳用戶定義測試文件,則會顯示錯誤消息:無法連接到諮詢服務服務器 UDT 檔會順利匯入 AppScan Enterprise。但使用者不會在 UI 或報告中看到 UDT issueTypeIds「如何修正」資訊。
若要查看 UDT issueTypeIds 的 xml「如何修正」資訊:
  1. 導航至 <ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives 資料夾路徑,然後解壓縮相應的 UDT IssueTypeName 壓縮檔案(例如:UserDefined_UDT1.zip)。
  2. 用戶可以在 <ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives\Advisories\en-US 資料夾路徑中查看 How To Fix/Advisory information xml(例如:UserDefined_UDT1.xml)檔案。
當您從掃描頁面編輯資料夾而不更改資料夾的權限並點擊儲存按鈕時,它會在 ActivityLog 表中建立一個動作標記為 3 的條目。動作 3 表示資料夾已被編輯。 如果您尚未編輯資料夾許可權,您必須按一下取消按鈕,才能離開頁面。
透過 ADAC 客戶端整合(使用 API POST/jobs/{jobId}/dastconfig/updatetraffic/{action})生成的 PostmanSoapUI 工具的流量檔案中,網域名稱未被排除(檔案格式為 .exd)。 您必須使用 .dast.config.har 檔案來排除網域的流量。
變更 Windows 中 AppScan Enterprise 服務帳戶的使用者許可權時,掃描工作失敗。 您必須將服務帳戶使用者新增至 AppScan Enterprise Server 及掃描器機器上的 Windows 管理員群組。
透過「工作管理員」刪除 AppScan Agent 服務程序時,HCL 掃描器授權移入不會立即發生。大約需要15分鐘,才能釋出授權。 建議透過服務重新啟動和停止 Agent,以釋出授權。
如果使用者未在 AppScan Enterprise Server 關閉之前登出,則開啟中的工作階段可能會導致不會將授權移回集區。遺留的這些授權只會在 2 小時後移回。 使用者應該在 AppScan Enterprise Server 關閉之前登出。
在 AppScan Enterprise 安裝期間,如果已在系統中安裝較高版本的 Microsoft Visual C++ 可轉散發套件 2017,則安裝 Visual C++ 2015 會失敗,因為應用程式嘗試安裝 Visual C++ 2015 可轉散發套件而未檢查系統中是否已存在較新版本。 解除安裝 Visual C++ 2017 RC 可轉散發套件、安裝 AppScan Enterprise 並重新安裝 Visual C++ 2017 可轉散發套件。
以所有語言提供產品行內說明,但相關連結僅提供日文、法文、簡體中文及繁體中文。 N/A。
如果延伸日誌檔大小太大(超過 2GB),有時候從「掃描」標籤摘要報告下載日誌檔作業會導致下載 0KB zip 檔。 在此類情況下,從 AppScan Enterprise 代理程式伺服器的「日誌」目錄複製檔案。
當您在 AppScan Dynamic Analysis Client 中編輯掃描時,請確定您要編輯的掃描在 AppScan Enterprise 中未執行;否則,當您更新掃描時,掃描可能會暫停。 在 Client 的工作內容頁面中,清除儘快執行工作勾選框,然後按一下更新工作
當掃描工作只含有所記錄的登入(無「手動探索」或「起始 URL」)時,掃描將不會在該頁面下方搜索。 至少新增一個 URL 至掃描項目頁面的「手動探索」或「起始 URL」。
如果您將防火牆部署在接受掃描的代理程式和網站之間,則會有效能退化和假性無侵害攻擊結果的風險。 在 AppScan Enterprise Server 傳送的安全測試結果當中指出,有些防火牆產品可能標有可疑的網路活動。
如果使用者定義的正常化規則得出空的 URL 字串,掃描很有可能無法結束。 如果工作內容有定義正常化規則,則必須確保它們得出有效的 URL。
如果報告已經完成問題管理,報告套件摘要報告與報告資料會出現不同步的現象。 當「問題管理」作業完成時,必須重新執行「報告套件」,才能將數字同步化。
已刪除的報告不會立即從儀表板移除。 您必須重新執行儀表板,這項變更才會生效。
在排列清單順序時,日文中文的對照順序不見得能如預期般運作。 雖然它們使用 .NETSQL 對照(語言環境專屬對照),但是產品卻不符合 ICU。

直到在工作上執行編輯儲存之前,ADAC 工作中斷不適用於在 9.0.3.11 以前建立的工作。

根本原因:應用程式中存在一個問題,導致起始 URL 未能更新到 ASE 資料庫中的 ADAC 任務。因為中斷會從 ASE 資料庫讀取網域,造成中斷不適用於 ADAC 工作。因為起始 URL 是儲存在 dast.config 檔案中,所以現有的工作必須手動編輯並且儲存,才能將 URL 儲存至 ASE 資料庫。
  1. 編輯 ADAC 工作(9.0.3.11 以前建立的工作)。
  2. 執行工作的更新。
  3. 停電應按配置運作(類似於內容掃描任務)。

在 AppScan Standard 中運行掃描並將結果匯出為舊版 XML 檔案以供 AppScan Enterprise 使用後,使用此 XML 檔案時,它被作為 <uicontrol>Imported Job</uicontrol> 運行。然後,這與 AppScan Enterprise 中的應用程式相關聯。然而,生成的安全報告不包括已訪問的 URL,儘管它們在原始的 AppScan Standard 報告中可用。

 N/A

雖然 AppScan Activity Recorder (AAR) 加密檔案可以使用 AppScan Enterprise REST API 匯入。在內容掃描作業中,如果直接通過 AppScan Dynamic Analysis Client (ADAC) 使用者介面嘗試,則不支援。

 方法 1:使用 AppScan REST API 匯入加密檔案:

使用 AppScan REST API (POST /jobs/{jobId}/dastconfig/updatetraffic/{action}) 匯入加密檔案。此方法繞過使用者介面的限制,並允許成功匯入到 AppScan-ADAC,使掃描能夠正確運行。

方法 2:考慮替代錄製方法:

對於需要加密登錄序列的情況,考慮在執行 ADAC 作業時使用 ADAC 錄製而不是 AAR。ADAC 錄製可能提供更多的靈活性,而不會遇到 AAR 上傳時的加密相關限制。
在 AppScan Enterprise 版本 10.4.0 中,以 PDF、HTML 或 XML 格式生成的安全報告顯示每個易受攻擊組件問題的相同通用原因,而不管與之相關的特定通用漏洞和暴露 (CVE) ID。 N/A
升級 ADAC v10.5.0 或 v10.5.1 到更新版本時,如果 ASE 伺服器上的 SSL 憑證無效(過期、不受信任),則直接從 ASE 伺服器升級會失敗。這是因為 ADAC 10.5.0 和 10.5.1 強化了安全性,並阻止下載無效憑證。

此問題的修正包含在 ADAC 版本 10.6 及更高版本中。升級到 ADAC 10.6 或更高版本將解決此問題:

  1. 從 FNO 下載最新的 ADAC 版本(10.6 或更高版本)。
  2. 在目標機器上安裝下載的 ADAC 版本。
Note:
  • 此解決方法僅適用於 ASE 伺服器上的 SSL 憑證無效的情況。
  • ASE 伺服器上 SSL 憑證有效的用戶不受此問題影響。
在使用 Windows Server 2016 並啟用 TLS 1.2 時,OLEDB 無法正常運作。此問題阻止用戶維持與 TLS 1.2 的安全連接。

要解決此問題,請在機器上安裝 SQL Native Client。您可以從以下鏈接下載 SQL Native Client:

下載 SQL Native Client

其他資訊:
  • 如果在 Windows Server 2016 上需要 OLEDB 功能,用戶可以暫時降級到 TLS 1.1。
  • 對於那些希望使用 TLS 1.2 的用戶,建議升級到 Windows Server 2019。
在 AppScan Enterprise v10.6.0 中,通用漏洞評分系統(CVSS)向量將僅以英文顯示。非英文用戶界面將無法看到該向量。 N/A
基於<uicontrol>AppScan Standard</uicontrol>範本的OpenAPI掃描在<uicontrol>AppScan Enterprise</uicontrol>中不受支持。 通過<uicontrol>AppScan Connect</uicontrol>從<uicontrol>AppScan Standard</uicontrol>在<uicontrol>AppScan Enterprise</uicontrol>中創建OpenAPI掃描。
在匯出XLS文件中,“按業務單位的問題嚴重性(最大)”和“按業務單位的安全風險評級”部分顯示每個業務單位(BU)的所有過濾應用程序計數,而不是實際的應用程序計數。 N/A
點擊儀表板上帶有過濾數據的鏈接不會將過濾器帶到<uicontrol>Portfolio</uicontrol>標籤。因此,<uicontrol>Portfolio</uicontrol>標籤顯示所有具有相應狀態的應用程序,而不僅僅是過濾的應用程序。 用戶必須從<uicontrol>Portfolio</uicontrol>標籤的過濾器部分手動過濾應用程序。
從<uicontrol>AppScan on Cloud</uicontrol>導入SCA問題到<uicontrol>AppScan Enterprise</uicontrol>時,不顯示SCA問題詳細信息。 聯繫<uicontrol>AppScan Enterprise</uicontrol> L2支持以接收補丁。
在PDF報告中,缺少File:URL:屬性。此屬性在匯出的XML文件中也不存在,導致其未顯示在PDF或HTML報告中。此問題存在於<uicontrol>AppScan Enterprise</uicontrol> 10.6.0版本中。 目前,沒有立即可用的修復方案。需要進行架構級別的更改來解決此問題。然而,下一版本將引入一個新的軟件組成分析(SCA)掃描器,這將解決此問題。
DAST作業報告包在完成後可能無法正確顯示。 刷新頁面並重新開啟報告包。這通常會在第二次嘗試時解決問題。
當升級到 AppScan Enterprise v10.8.0 並使用大型資料庫時,由於預設模板的升級,配置精靈可能需要比平常更長的時間才能完成。然而,該過程將自行成功完成。全新安裝在預期的時間範圍內進行。沒有可用的解決方法,並計劃在未來的版本中修復。 N/A
當應用程式名稱包含特殊字元時,例如 "IAST-(InternalScan)",IAST 代理標籤中的問題計數顯示不正確。這包括不同嚴重性級別的問題計數缺失,及其他相關代理詳細資訊也未如預期顯示。 N/A
有時,當在伺服器配置精靈中使用 MHS 授權檔案時,可能會發生授權驗證錯誤。此錯誤發生在嘗試配置像是使用者管理、企業控制台或動態分析掃描器等元件時。 點擊返回按鈕並返回到授權畫面以繼續配置。
當使用 API 端點 get /license/decryptedData 時,回應主體顯示永久授權的到期日為。這是一個問題,因為永久授權不應有到期日,但 API 錯誤地返回空值,而不是指示到期不適用。 N/A
當嘗試使用<uicontrol>客戶端憑證</uicontrol>或<uicontrol>智能卡</uicontrol>選項從獨立啟動的<uicontrol>AppScan 動態分析客戶端 (ADAC)</uicontrol>登錄到<uicontrol>AppScan Enterprise 伺服器</uicontrol>時,登錄失敗並顯示錯誤訊息:

無法連接到<uicontrol>AppScan Enterprise 伺服器</uicontrol>。

 請從<uicontrol>AppScan Enterprise 瀏覽器控制台</uicontrol>啟動<uicontrol>ADAC</uicontrol>,而不是獨立啟動它。
卸載<uicontrol>AppScan Enterprise v10.9.1</uicontrol>後,即使具有管理員權限,您也無法刪除安裝目錄中的某些文件和文件夾。錯誤訊息顯示這些文件正在被<uicontrol>javawe.exe</uicontrol>進程使用。 卸載完成後重新啟動機器。然後您可以刪除剩餘的文件夾結構。
<uicontrol>Get/issues/{jobId}</uicontrol> API 生成的<uicontrol>PDF</uicontrol>報告有以下顯示問題:
  • <uicontrol>CVSS 分數</uicontrol>屬性顯示為無分數。只有當問題與<uicontrol>監控頁面</uicontrol>中的應用程式相關聯時,才會計算此分數。
  • <uicontrol>URL</uicontrol>屬性顯示為 'N/A' 而不是被隱藏。報告名稱、報告描述和問題屬性不會翻譯。
  • 無論使用者介面中選擇的語言為何,它們始終以英文顯示。
 N/A