1
您現在的位置:
首頁
/
/
HCL AppScan Standard 10.2.0 中的新增功能(néng)

HCL AppScan Standard 10.2.0 中的新增功能(néng)

  • 分類:新聞資訊
  • 作者:蘇州華克斯信息科技有限公司
  • 來源:蘇州華克斯信息科技有限公司
  • 發(fā)布時(shí)間:2023-05-12
  • 訪問量:0

【概要描述】

HCL AppScan Standard 10.2.0 中的新增功能(néng)

【概要描述】

  • 分類:新聞資訊
  • 作者:蘇州華克斯信息科技有限公司
  • 來源:蘇州華克斯信息科技有限公司
  • 發(fā)布時(shí)間:2023-05-12
  • 訪問量:0
詳情

HCL AppScan Standard 10.2.0 中的新增功能(néng)

概述

HCL AppScan Standard  HCL AppScan 應用程序安全測試套件的滲透測試組件,用于測試 Web 應用程序和 API。它具有識别安全漏洞的前沿方法和技術,可幫助保護應用程序免受網絡攻擊的威脅。

HCLAppScan Standard是動态分析工具,通過(guò)使用類似于黑客使用的方法攻擊應用程序,在運行時(shí)評估應用程序安全性。測試結果包括從應用程序清單到詳細攻擊流量的一系列豐富數據,系統可以重現這(zhè)些數據以進(jìn)行驗證和修複。可以在 UI 中檢查和處理這(zhè)些數據,也可以采用各種(zhǒng)格式導出這(zhè)些數據,以便在其他工具中共享。

除了尖端測試設施外,AppScan 還(hái)包括其他功能(néng),可幫助您盡可能(néng)高效地運行測試程序。這(zhè)些功能(néng)包括:

 

常規和法規一緻性報告,并提供超過(guò) 40 個不同的開(kāi)箱即用模闆

通過(guò) AppScan eXtension     Framework 或通過(guò)使用 AppScan SDK 直接集成(chéng)到現有系統内來實現的定制和可擴展性

 

内置優化機制,可幫助集中測試應用程序最可能(néng)發(fā)生問題的部分中可能(néng)出現的問題

 

AppScan Standard可幫助您在站點部署之前并且爲生産階段的進(jìn)行中風險評估來降低 Web 應用程序攻擊和數據違規的風險。

 

支持的技術

站點使用的某些技術可能(néng)會(huì)影響 AppScan 掃描站點的能(néng)力,但是其他技術完全不會(huì)影響掃描。

AppScan 是一個黑盒”(DAST) 工具,與浏覽器使用相同的機制訪問站點。因此,對(duì)于浏覽器透明的服務器端技術對(duì)于 AppScan 也透明,但不會(huì)影響掃描。

 

客戶機端技術(如 JavaScript  HTTP 協議)本身的确會(huì)影響 AppScan。爲了成(chéng)功掃描,AppScan 利用嵌入産品的實際浏覽器來處理網頁,就(jiù)如同使用在市場上可獲得的浏覽器一樣。這(zhè)可确保支持所有常用技術。有時(shí)可能(néng)需要附加配置來幫助 AppScan 理解元素的上下文,從而正确處理簡單浏覽之外的工作,這(zhè)通常針對(duì)掃描的測試階段。

支持 WebSocket 登錄記錄和登錄回放。

AppScan掃描包含兩(liǎng)個主要階段:探索和測試。針對(duì)每個階段,下表提供了理解哪些服務器端和客戶機端技術可能(néng)會(huì)影響掃描的準則以及需要配置的情況。

 

服務器端技術

客戶機端技術

探索階段

任何不影響客戶機的服務器端技術(如使用的特定數據庫)不會(huì)以任何方式影響掃描。

隻要 AppScan 配置正确,很多影響客戶機的機制(如會(huì)話管理)都(dōu)不會(huì)限制掃描。例如,Web 服務器和應用程序服務器影響管理會(huì)話标識的方式,AppScan 必須能(néng)夠跟蹤這(zhè)些标識。很多常見會(huì)話标識已預定義或可以由 AppScan 自動檢測,不需要其他配置。但是,某些定制機制可能(néng)仍需要其他配置。

AppScan 特别支持 WebSphere Portal 定制 URL。WSP 對(duì) URL 的編碼方式使其在顯示時(shí)很難跟蹤。AppScan 會(huì)解碼這(zhè)些 URL,以理解這(zhè)些 URL 并對(duì)其進(jìn)行調優。

AppScan 使用完全嵌入式浏覽器,它自動支持所有主要技術 (HTML5),包括許多常用的 JavaScript 框架,例如 Angular、React 和 JQuery。

如果自動探索階段因特定技術而丢失頁面(miàn),或由于實現阻擋自動探索而丢失頁面(miàn),可以在自動探索之後(hòu),測試階段之前,通過(guò)手動探索將(jiāng)這(zhè)些頁面(miàn)添加到掃描。

測試階段

AppScan 旨在測試應用程序而不是其支持技術,因此它們不會(huì)影響測試。再次考慮數據庫:AppScan 的 SQL 注入測試套件與所用的數據庫無關。它還(hái)可以爲第三方測試(常見漏洞測試)提供特定測試。

客戶機端 JavaScript 漏洞使用嵌入式浏覽器進(jìn)行測試。同樣使用 Black-Box (DAST) 方法實施測試。對(duì)浏覽器環境進(jìn)行控制,并按原樣執行  JavaScript 以顯示漏洞。AppScan 支持現代浏覽器所支持的所有執行方法。

新增功能(néng)

本部分介紹此版本中的新增AppScan Standard産品功能(néng)和增強功能(néng),以及相關棄用和預期變更。

HCL AppScan Standard 10.2.0 中的新增功能(néng)

問題嚴重性和 CVSS 評分現在基于 CVSS V3.1。使用 2.0 評分運行的掃描可以應用 3.1 評分(這(zhè)可能(néng)會(huì)改變某些問題評分和嚴重性)或按原樣查看。

 

根據 CVSS 3.1,爲安全問題添加了新的嚴重性級别 - “嚴重

 

先前的配置對(duì)話框進(jìn)行了改進(jìn)、重組,并作爲本地視圖集成(chéng)在主用戶界面(miàn)中。

 

Web API 掃描現在通過(guò)新的配置視圖進(jìn)行配置(請參閱API)。

 

在新的配置視圖中,掃描向(xiàng)導替換爲了預設,向(xiàng)您顯示用于快速設置的基本選項。

 

現在,從文件菜單(文件 > 新建 > 遞增掃描)訪問遞增掃描。

 

更新了合規性報告模闆:[美國(guó)]《加利福尼亞州消費者隐私法案》(CCPA) - AB-375

修複和安全更新

此發(fā)行版中的新安全規則包括:

 

MaxLengthVuln - 搜索具有非常大約束的“maxlength”屬性

 

LeakedSecretTokens - 在響應中搜索機密令牌

 

SecurityRule_AbstractContentSecurityPolicyRule - 添加了新的抽象 CSP 規則(包含常見的檢測和變異)

 

attNoHttpsRedirection - 在使用 HTTP 方案時(shí)檢查 HTTPS 重定向(xiàng)

 

attText4Shell - Text4Shell 漏洞添加了新規則 (CVE-2022-42889)

 

attGraphqlIntrospectionMutation - 檢查是否在 GraphQL API 中啓用了自我檢查

有關此發(fā)行版中修複、安全規則更新和 RFE 的完整列表,請參閱 AppScan Standard 修複列表。

已在此發(fā)行版中更改

 

此版本中删除了使用外部 Internet Explorer 浏覽器的選項,因爲 Microsoft 不再支持 IE

 

現在,以 XML 格式導出的掃描數據以及相關報告指示哪個 CVSS 版本用于對(duì)問題嚴重性進(jìn)行評分,以及完整的 CVSS 向(xiàng)量字符串。

 

配置視圖中,測試策略和測試優化合并到了單個面(miàn)闆中。

 

删除了切換到舊用戶界面(miàn)的功能(néng)。

 

現在,配置更改會(huì)立即生效,無需單擊确定

 

現在,從文件菜單(文件 > 新建 > 遞增掃描)訪問遞增掃描。

即將(jiāng)推出的變更

以下功能(néng)將(jiāng)在將(jiāng)來的版本中删除:

嵌入式 Internet Explorer 浏覽器將(jiāng)在 AppScan 的將(jiāng)來版本中删除。

Web 服務、關鍵的少數開(kāi)發(fā)者精要測試策略將(jiāng)被删除,因爲現在可以使用其他策略實現類似的結果(請參閱此處)

對(duì)于 V9.0.3.1 之前的 AppScan Enterprise 版本,以 XML 格式導出掃描結果的功能(néng)。

關于 蘇州華克斯信息科技有限公司

專業的測試及安全産品服務提供商

LoadRunner | Fortify | SonarQube | AppScan | WebInspect

FossEye開(kāi)源安全與合規治理平台 |  極狐GitLab一體化 DevOps平台

CMA/CNAS軟件評測實驗室解決方案 | 源代碼安全審計服務

 

OpenText(MicroFocus)中國(guó)區鉑金代理商 | SonarQube中國(guó)區總代理商

AppScan中國(guó)區核心代理商 | 極狐GitLab鉑金級合作夥伴

掃二維碼用手機看

更多資訊

聯系我們

聯系我們

發(fā)布時(shí)間:2020-09-16 13:55:16
地址:蘇州市工業園區新平街388号
          騰飛創新園塔樓A617
電話:400-028-4008
          0512-62382981

關注我們

這(zhè)是描述信息

頁面(miàn)版權所有 -  蘇州華克斯信息科技有限公司  |  Copyright - 2020 All Rights Reserved.