fortify工具-苏州华克斯

LoadRunner V24.1版本更新

LoadRunner Professional 的新增功能  用户体验

此版本包括以下用户体验增强功能：领域增强更新的用户界面        用户界面已更新，源代码审计工具fortify工具，以反映 Micro Focus 现在是OpenText。在线图表在控制器在线图形中，您现在可以一次设置多个测量的刻度。输出消息现在可以从方案运行中导出输出消息。总结报告“分析摘要报告”现在显示方案的开始和结束时间以及时区。数据和分析

此版本包括以下数据和分析更新：领域增强网页诊断现在，默认情况下，fortify工具，网页诊断的数据收集处于禁用状态。要在 Analysis 中查看 Web Page Diagnostics 图形中的数据，请在 Controller 中启用数据收集。Web 资源图Controller 和 Analysis 包括一个新的 Web 资源图表，用于显示每秒服务器请求数。此图显示 DevWeb 脚本的每个主机统计信息（基于服务器主机名）的命中数。        

LoadRunner VuGen 协议说明

协议描述

.NET支持 Microsoft .NET 客户端/服务器技术的录制。.NET+支持 .NET 6 的 Microsoft .NET 客户端-服务器技术的录制。C Vuser使用标准 C 库的一般虚拟用户。Citrix ICA一种远程访问工具，源代码检测工具fortify工具，允许用户在外部计算机上运行特定应用程序。CoAP (受限应用协议)CoAP 是与 IoT 消息代理通信的两种的协议之一。CoAP 是运行在 UDP 上的二进制协议，旨在轻松转换为 HTTP，以便基于 Web 的常见应用程序可以与其集成。

Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase 将针对数千个漏洞的检查与策略相结合，这些策略可指导用户通过 SmartUpdate 立即提供以下更新：

漏洞支持

不安全的部署：未修补的应用程序[5]                

Cacti 是一个框架，为用户提供日志记录和绘图功能来监视网络上的设备。remote_agent.php文件容易受到 1.2.23 之前的 Cacti 版本中 CVE-2022-46169 识别的远程代码执行 （RCE） 漏洞的影响。使用用户输入轮询数据调用方法proc_open时传递 poller_id 参数。由于此值未清理，因此攻击者能够在目标计算机上执行命令。将此命令注入问题与使用 X-Forwarded-For 标头的身份验证绕过相结合，会导致未经身份验证的攻击者危害整个应用程序。此版本包括一项检查，用于在运行受影响的 Cacti 版本的目标服务器上检测此漏洞。

SAML 不良做法：不安全转换          

SAML消息经过加密签名，以保证断言的有效性和完整。服务提供商必须执行的签名验证步骤之一是转换 Reference 元素指向的数据。通常，转换操作旨在仅选择引用数据的子集。但是，攻击者可以使用某些类型的转换造成拒绝服务，在某些环境中甚至执行任意代码。此版本包括一项检查，如果服务提供商允许在 XML 引用中使用不安全类型的转换，则会触发该检查。

合规报告

DISA STIG 5.2 为了支持我们的联邦客户的合规需求，此版本包含 WebInspect 检查与版本的信息系统局应用程序安全和开发 STIG 5.2          

版的关联。

PCI DSS 4.0 为了支持我们的电子商务和金融服务客户的合规性需求，此版本包含 WebInspect 检查与版本的支付卡行业数据安全标准 4.0 版中的要求的关联