HCL AppScan® Enterprise 的新功能

本節描述了此版本中的新AppScan Enterprise產品功能和增強功能,以及相關的棄用和預期變更。

HCL AppScan® Enterprise 中的新增功能10.9.1

  • IAST 增強功能:
  • API 掃描增強:此版本增強了 API 掃描功能,增加了對 OpenAPI 規範的支持,並改進了對 Postman 集合的掃描。以下新的 REST API 端點現已可用:
    • POST /jobs/{jobId}/dastconfig/postman/url/add:使您能夠將 Postman 集合 URL,包括相關的環境和全域變數 URL,新增到 DAST 掃描配置中。
    • POST /jobs/{jobId}/dastconfig/openapi/add:允許將 OpenAPI 描述文件添加到 DAST 掃描配置中。
    • POST /jobs/{jobId}/dastconfig/openapi/url/add:協助使用 URL 將 OpenAPI 描述新增到 DAST 掃描配置中。
  • 在「監控」標籤上更新的安全標準和合規報告:
  • WebSocket掃描支持:
    • 支持使用 JSON 或 XML 訊息進行數據交換的 WebSocket 協議。
  • 增強的CWE報告:
    • 為了進行更全面的漏洞評估,<Monitor>標籤上的關鍵安全報告現在顯示多個CWE,並列出主要的CWE。

APAR 修正程式清單

已修正下列授權程式分析報告 (APAR):

APAR 編號 說明
KB0119487 解決了從 AppScan Standard 導入的掃描問題數量不一致的問題,其中多個問題共享相同的'Item Id'。
KB0120978 修正了一個問題,即當內容超過儲存格字元限制時,Excel 報告無法生成。
KB0120294 修正了一個問題,即從 AppScan Standard 上傳的掃描結果在使用非英語語言設置時未顯示在相關應用程式中。

修正和安全更新

此版本中的新安全規則包括:
  • attWordpressGalleryPluginPathTraversalCVE20233279 - WordPress 圖庫插件路徑遍歷漏洞 CVE-2023-3279
  • attWordPressBackupMigrationplugincve20235737 - WordPress 備份和遷移插件訪問控制漏洞 CVE-2023-5737
  • attMobileMouseRCECVE202331902 - 移動滑鼠遠端命令執行 CVE-2023-31902
  • attOpenWireApacheServerRCECVE202346604 - OpenWire Apache 伺服器 RCE 用於 CVE-2023-46604
  • attApacheHugeGraphRCECVE202427348 - Apache HugeGraph RCE CVE-2024-27348
  • attApacheOFBizRCECVE202438856 - Apache OFBiz 遠程代碼執行 (RCE) 用於 CVE-2024-38856
  • attCactiRCECVE202425641 - Cacti 遠程代碼執行 CVE-2024-25641
  • attLMSBlindSqlInjectionTimeoutCVE20248529 - WordPress Learnpress 插件 SQL 注入 CVE-2024-8529
  • attWordPressUltimateExporterRCECVE202456278 - Wordpress Ultimate Exporter 遠程代碼執行 (RCE) 用於 CVE-2024-56278
  • JwtWeakSecretKey - 檢測弱 JWT 秘密金鑰
  • 脆弱性組件數據庫已更新至版本1.7。

此外,以下安全規則已更新:

  • LiferayPortalJSONWSRCEIssue - Liferay Portal JSONWS 遠程代碼執行:新增了一個 ADNS 變體。
  • attConfluenceRemoteCommandExecutionCVE202126084 - Confluence 伺服器 Webwork OGNL 注入 (CVE-2021-26084):新增兩個 TWS 變體(Wget 和 Curl)。
  • attBlindSqlInjectionTWSMSSQL - 針對 MS-SQL 的盲目 SQL 注入 Out-Of-Band:新增 4 種 TWS 變體(curl + wget,string + numeric)。
  • WeakJWTExpiration - 修正了 JWT 檢測的正則表達式。
  • attJWTWeakSignature - 修正了 JWT 檢測正則表達式。

此版本的完整修復、更新和RFE列表列在這裡

已在此版本中變更

  • Underscore.js 庫已升級至版本 1.13.7。
  • Chromium 瀏覽器引擎已升級至 138.0.7204.96 版本,以包含最新的安全修復程序。
  • 已完成全面的VPAT評估,以記錄符合無障礙標準,如WCAG、Section 508和EN 301 549。如需更多資訊,請參閱無障礙功能AppScan Enterprise

已在此版本中移除

  • 在此版本中沒有移除任何項目。

即將進行的變更

  • AppScan 版本 10.6.0 及更早版本將於 2025 年 6 月達到支援終止 (EOS)。建議在此之前升級到最新的可用版本。
  • 未來版本®Windows® 10 和Windows® Server 2019®支援將會被刪除AppScan 因為這些作業系統的主要支援期已經結束。
  • 微軟®Windows® Server 2025 的支持計劃在即將推出的版本中提供。
  • 在即將發布的版本中,一個統一的 REST API 將取代目前的 OpenAPI 設定端點(.../openapi/url/add.../openapi/add)。新 API 還增加了對授權和其他參數的支援。