HCL AppScan Standard 10.2.0 中的新增功能(néng)
- 分類:新聞資訊
- 作者:蘇州華克斯信息科技有限公司
- 來源:蘇州華克斯信息科技有限公司
- 發(fā)布時(shí)間:2023-05-12
- 訪問量:0
【概要描述】
HCL AppScan Standard 10.2.0 中的新增功能(néng)
【概要描述】
- 分類:新聞資訊
- 作者:蘇州華克斯信息科技有限公司
- 來源:蘇州華克斯信息科技有限公司
- 發(fā)布時(shí)間:2023-05-12
- 訪問量:0
HCL AppScan Standard 10.2.0 中的新增功能(néng)
概述
HCL AppScan Standard 是 HCL AppScan 應用程序安全測試套件的滲透測試組件,用于測試 Web 應用程序和 API。它具有識别安全漏洞的前沿方法和技術,可幫助保護應用程序免受網絡攻擊的威脅。
HCLAppScan Standard是動态分析工具,通過(guò)使用類似于黑客使用的方法攻擊應用程序,在運行時(shí)評估應用程序安全性。測試結果包括從應用程序清單到詳細攻擊流量的一系列豐富數據,系統可以重現這(zhè)些數據以進(jìn)行驗證和修複。可以在 UI 中檢查和處理這(zhè)些數據,也可以采用各種(zhǒng)格式導出這(zhè)些數據,以便在其他工具中共享。
除了尖端測試設施外,AppScan 還(hái)包括其他功能(néng),可幫助您盡可能(néng)高效地運行測試程序。這(zhè)些功能(néng)包括:
常規和法規一緻性報告,并提供超過(guò) 40 個不同的開(kāi)箱即用模闆
通過(guò) AppScan eXtension Framework 或通過(guò)使用 AppScan SDK 直接集成(chéng)到現有系統内來實現的定制和可擴展性
内置優化機制,可幫助集中測試應用程序最可能(néng)發(fā)生問題的部分中可能(néng)出現的問題
AppScan Standard可幫助您在站點部署之前并且爲生産階段的進(jìn)行中風險評估來降低 Web 應用程序攻擊和數據違規的風險。
支持的技術
站點使用的某些技術可能(néng)會(huì)影響 AppScan 掃描站點的能(néng)力,但是其他技術完全不會(huì)影響掃描。
AppScan 是一個“黑盒”(DAST) 工具,與浏覽器使用相同的機制訪問站點。因此,對(duì)于浏覽器透明的服務器端技術對(duì)于 AppScan 也透明,但不會(huì)影響掃描。
客戶機端技術(如 JavaScript 和 HTTP 協議)本身的确會(huì)影響 AppScan。爲了成(chéng)功掃描,AppScan 利用嵌入産品的實際浏覽器來處理網頁,就(jiù)如同使用在市場上可獲得的浏覽器一樣。這(zhè)可确保支持所有常用技術。有時(shí)可能(néng)需要附加配置來幫助 AppScan 理解元素的上下文,從而正确處理簡單浏覽之外的工作,這(zhè)通常針對(duì)掃描的測試階段。
支持 WebSocket 登錄記錄和登錄回放。
AppScan掃描包含兩(liǎng)個主要階段:探索和測試。針對(duì)每個階段,下表提供了理解哪些服務器端和客戶機端技術可能(néng)會(huì)影響掃描的準則以及需要配置的情況。
|
服務器端技術 |
客戶機端技術 |
探索階段 |
任何不影響客戶機的服務器端技術(如使用的特定數據庫)不會(huì)以任何方式影響掃描。 隻要 AppScan 配置正确,很多影響客戶機的機制(如會(huì)話管理)都(dōu)不會(huì)限制掃描。例如,Web 服務器和應用程序服務器影響管理會(huì)話标識的方式,AppScan 必須能(néng)夠跟蹤這(zhè)些标識。很多常見會(huì)話标識已預定義或可以由 AppScan 自動檢測,不需要其他配置。但是,某些定制機制可能(néng)仍需要其他配置。 AppScan 特别支持 WebSphere Portal 定制 URL。WSP 對(duì) URL 的編碼方式使其在顯示時(shí)很難跟蹤。AppScan 會(huì)解碼這(zhè)些 URL,以理解這(zhè)些 URL 并對(duì)其進(jìn)行調優。 |
AppScan 使用完全嵌入式浏覽器,它自動支持所有主要技術 (HTML5),包括許多常用的 JavaScript 框架,例如 Angular、React 和 JQuery。 如果自動探索階段因特定技術而丢失頁面(miàn),或由于實現阻擋自動探索而丢失頁面(miàn),可以在自動探索之後(hòu),測試階段之前,通過(guò)手動探索將(jiāng)這(zhè)些頁面(miàn)添加到掃描。 |
測試階段 |
AppScan 旨在測試應用程序而不是其支持技術,因此它們不會(huì)影響測試。再次考慮數據庫:AppScan 的 SQL 注入測試套件與所用的數據庫無關。它還(hái)可以爲第三方測試(常見漏洞測試)提供特定測試。 |
客戶機端 JavaScript 漏洞使用嵌入式浏覽器進(jìn)行測試。同樣使用 Black-Box (DAST) 方法實施測試。對(duì)浏覽器環境進(jìn)行控制,并按原樣執行 JavaScript 以顯示漏洞。AppScan 支持現代浏覽器所支持的所有執行方法。 |
新增功能(néng)
本部分介紹此版本中的新增AppScan Standard産品功能(néng)和增強功能(néng),以及相關棄用和預期變更。
HCL AppScan Standard 10.2.0 中的新增功能(néng)
問題嚴重性和 CVSS 評分現在基于 CVSS V3.1。使用 2.0 評分運行的掃描可以應用 3.1 評分(這(zhè)可能(néng)會(huì)改變某些問題評分和嚴重性)或按原樣查看。
根據 CVSS 3.1,爲安全問題添加了新的嚴重性級别 - “嚴重”。
先前的“配置”對(duì)話框進(jìn)行了改進(jìn)、重組,并作爲本地視圖集成(chéng)在主用戶界面(miàn)中。
Web API 掃描現在通過(guò)新的“配置”視圖進(jìn)行配置(請參閱API)。
在新的“配置”視圖中,掃描向(xiàng)導替換爲了“預設”,向(xiàng)您顯示用于快速設置的基本選項。
現在,從“文件”菜單(文件 > 新建 > 遞增掃描)訪問遞增掃描。
更新了合規性報告模闆:[美國(guó)]《加利福尼亞州消費者隐私法案》(CCPA) - AB-375。
修複和安全更新
此發(fā)行版中的新安全規則包括:
MaxLengthVuln - 搜索具有非常大約束的“maxlength”屬性
LeakedSecretTokens - 在響應中搜索機密令牌
SecurityRule_AbstractContentSecurityPolicyRule - 添加了新的抽象 CSP 規則(包含常見的檢測和變異)
attNoHttpsRedirection - 在使用 HTTP 方案時(shí)檢查 HTTPS 重定向(xiàng)
attText4Shell - 爲 Text4Shell 漏洞添加了新規則 (CVE-2022-42889)
attGraphqlIntrospectionMutation - 檢查是否在 GraphQL API 中啓用了自我檢查
有關此發(fā)行版中修複、安全規則更新和 RFE 的完整列表,請參閱 AppScan Standard 修複列表。
已在此發(fā)行版中更改
此版本中删除了使用外部 Internet Explorer 浏覽器的選項,因爲 Microsoft 不再支持 IE。
現在,以 XML 格式導出的掃描數據以及相關報告指示哪個 CVSS 版本用于對(duì)問題嚴重性進(jìn)行評分,以及完整的 CVSS 向(xiàng)量字符串。
在“配置”視圖中,測試策略和測試優化合并到了單個面(miàn)闆中。
删除了切換到舊用戶界面(miàn)的功能(néng)。
現在,配置更改會(huì)立即生效,無需單擊“确定” 。
現在,從“文件”菜單(文件 > 新建 > 遞增掃描)訪問遞增掃描。
即將(jiāng)推出的變更
以下功能(néng)將(jiāng)在將(jiāng)來的版本中删除:
嵌入式 Internet Explorer 浏覽器將(jiāng)在 AppScan 的將(jiāng)來版本中删除。
Web 服務、“關鍵的少數”和“開(kāi)發(fā)者精要”測試策略將(jiāng)被删除,因爲現在可以使用其他策略實現類似的結果(請參閱此處)
對(duì)于 V9.0.3.1 之前的 AppScan Enterprise 版本,以 XML 格式導出掃描結果的功能(néng)。
關于 蘇州華克斯信息科技有限公司
專業的測試及安全産品服務提供商
LoadRunner | Fortify | SonarQube | AppScan | WebInspect
FossEye開(kāi)源安全與合規治理平台 | 極狐GitLab一體化 DevOps平台
CMA/CNAS軟件評測實驗室解決方案 | 源代碼安全審計服務
OpenText(MicroFocus)中國(guó)區鉑金代理商 | SonarQube中國(guó)區總代理商
AppScan中國(guó)區核心代理商 | 極狐GitLab鉑金級合作夥伴
掃二維碼用手機看
更多資訊