AppScan網(wǎng)絡(luò)安全測(cè)試工具

HCL AppScan Standard簡(jiǎn)稱(chēng)AppScan，是隸屬于HCL品牌旗下，一款網(wǎng)絡(luò)安全測(cè)試工具，支持windows操作系統(tǒng)，可以對(duì)網(wǎng)站應(yīng)用進(jìn)行自動(dòng)化的安全掃描測(cè)試。相比較同類(lèi)型awvs軟件，AppScan采用全新的爬蟲(chóng)技術(shù)，能夠根據(jù)網(wǎng)站入口自動(dòng)摸取網(wǎng)頁(yè)鏈接進(jìn)行安全掃描，提供了掃描、報(bào)告和修復(fù)建議等功能，滿(mǎn)足廣大用戶(hù)的使用需求。除此之外，該軟件動(dòng)態(tài)分析、靜態(tài)分析和互動(dòng)分析三種不同的測(cè)試功能，支持可自動(dòng)化 Web 應(yīng)用的安全漏洞評(píng)估工作，能掃描和檢測(cè)所有常見(jiàn)的 Web 應(yīng)用安全漏洞，是你日常生活必備的掃描神器。

與之前版本相比，全新的AppScan10改進(jìn)了幫助文件格式，現(xiàn)在可以在缺省瀏覽器中直接打開(kāi)。支持供英語(yǔ)、法語(yǔ)、日語(yǔ)、簡(jiǎn)體中文和繁體中文等多國(guó)語(yǔ)言，帶給用戶(hù)更好的使用體驗(yàn)。與此同時(shí)，軟件還新增了使用 AppScan DNS 解析，提升了對(duì)例如 OS 命令、SSRF 和 XXE 攻擊等漏洞的檢測(cè)能力，此類(lèi)漏洞無(wú)法通過(guò)已測(cè)試的應(yīng)用程序直接檢測(cè)，提高你的掃描效率。

HCL AppScan Standard安裝教程

1、下載解壓縮，得到獲得AppScan原程序和對(duì)應(yīng)補(bǔ)丁，雙擊exe運(yùn)行；

2、根據(jù)自己的需求選擇對(duì)應(yīng)語(yǔ)言；

3、等待下載組件；

4、選擇我同意，點(diǎn)擊下一步；

5、點(diǎn)擊安裝；

6、等待一下；

7、安裝完后，先不要運(yùn)行軟件；

8、將文件夾中AppScanSDK.dll、HclLicenseProvider.dll兩個(gè)dll文件復(fù)制到軟件安裝目錄下替換，如圖所示；

默認(rèn)路徑：C:\Program Files (x86)\HCL\AppScan Standard

9、隨后運(yùn)行軟件，便可以無(wú)限制進(jìn)行使用了。

功能介紹

1、動(dòng)態(tài)分析（“黑盒掃描”）

這是主要方法，用于測(cè)試和評(píng)估運(yùn)行時(shí)的應(yīng)用程序響應(yīng)。

2、靜態(tài)分析（“白盒掃描”）

這是用于在完整 Web 頁(yè)面上下文中分析 JavaScript 代碼的獨(dú)特技術(shù)。

3、交互分析（“glass box 掃描”）

動(dòng)態(tài)測(cè)試引擎可與駐留在 Web 服務(wù)器本身上的專(zhuān)用 glass-box 代理程序交互，從而使AppScan10能夠比僅通過(guò)傳統(tǒng)動(dòng)態(tài)測(cè)試時(shí)識(shí)別更多問(wèn)題并具有更高準(zhǔn)確性。

4、AppScan10 的高級(jí)功能包括：

常規(guī)和法規(guī)一致性報(bào)告，并提供超過(guò) 40 個(gè)不同的開(kāi)箱即用模板

新功能

自動(dòng)更新：新增功能——通過(guò)配置 API 密鑰以連接 My HCLSoftware (MHS)，自動(dòng)將新更新應(yīng)用于 AppScan。有關(guān)更多信息，請(qǐng)參閱自動(dòng)更新。

定制腳本：使用 AppScan 的內(nèi)置 JavaScript 運(yùn)行時(shí)將動(dòng)態(tài)行為添加到 DAST 掃描中。AppScan 可以在發(fā)送請(qǐng)求之前或在掃描期間收到響應(yīng)之后運(yùn)行定制腳本。將針對(duì)每個(gè) HTTP 請(qǐng)求和響應(yīng)執(zhí)行該腳本。

重新設(shè)計(jì)了各項(xiàng)掃描配置的正則表達(dá)式對(duì)話(huà)框，以提高可用性。

恢復(fù)了通過(guò)“工具”>“選項(xiàng)”> 記錄代理訪(fǎng)問(wèn) AppScan SSL 證書(shū)部分的選項(xiàng)。

使用 URL 為 Postman 集合配置掃描時(shí)，重新掃描現(xiàn)在將從該 URL 獲取更新的 Postman 內(nèi)容。

增強(qiáng)了 DAST 引擎中的自動(dòng)登錄檢測(cè)功能。

更新日志

attAppMetricsDataExposed - 應(yīng)用程序度量端點(diǎn)已公開(kāi)

attWordPressPluginXSSCVE20237246 - WordPress 插件跨站點(diǎn)腳本編制 CVE20237246

attAtlassianConfluenceBrokenAccessCVE202322515 - Atlassian Confluence 訪(fǎng)問(wèn)中斷 CVE 2023 22515

SriValidation - 驗(yàn)證 SRI 完整性檢查

CSP 規(guī)則 - 重新設(shè)計(jì)了 CSP 評(píng)估，從而可以檢測(cè)到 17 個(gè)新的內(nèi)容安全性策略問(wèn)題

易受攻擊的組件數(shù)據(jù)庫(kù)已更新到版本 1.6