与之前版本相比,全新的AppScan10改进了帮助文件格式,现在可以在缺省浏览器中直接打开。支持供英语、法语、日语、简体中文和繁体中文等多国语言,带给用户更好的使用体验。与此同时,软件还新增了使用 AppScan DNS 解析,提升了对例如 OS 命令、SSRF 和 XXE 攻击等漏洞的检测能力,此类漏洞无法通过已测试的应用程序直接检测,提高你的扫描效率。
HCL AppScan Standard安装教程
1、下载解压缩,得到获得AppScan原程序和对应补丁,双击exe运行;
2、根据自己的需求选择对应语言;
3、等待下载组件;
4、选择我同意,点击下一步;
5、点击安装;
6、等待一下;
7、安装完后,先不要运行软件;
8、将文件夹中AppScanSDK.dll、HclLicenseProvider.dll两个dll文件复制到软件安装目录下替换,如图所示;
默认路径:C:\Program Files (x86)\HCL\AppScan Standard
9、随后运行软件,便可以无限制进行使用了。
功能介绍
1、动态分析(“黑盒扫描”)
这是主要方法,用于测试和评估运行时的应用程序响应。
2、静态分析(“白盒扫描”)
这是用于在完整 Web 页面上下文中分析 JavaScript 代码的独特技术。
3、交互分析(“glass box 扫描”)
动态测试引擎可与驻留在 Web 服务器本身上的专用 glass-box 代理程序交互,从而使AppScan10能够比仅通过传统动态测试时识别更多问题并具有更高准确性。
4、AppScan10 的高级功能包括:
常规和法规一致性报告,并提供超过 40 个不同的开箱即用模板
新功能
自动更新:新增功能——通过配置 API 密钥以连接 My HCLSoftware (MHS),自动将新更新应用于 AppScan。有关更多信息,请参阅自动更新。
定制脚本:使用 AppScan 的内置 JavaScript 运行时将动态行为添加到 DAST 扫描中。AppScan 可以在发送请求之前或在扫描期间收到响应之后运行定制脚本。将针对每个 HTTP 请求和响应执行该脚本。
重新设计了各项扫描配置的正则表达式对话框,以提高可用性。
恢复了通过“工具”>“选项”> 记录代理访问 AppScan SSL 证书部分的选项。
使用 URL 为 Postman 集合配置扫描时,重新扫描现在将从该 URL 获取更新的 Postman 内容。
增强了 DAST 引擎中的自动登录检测功能。
更新日志
v10.8.0版本attAppMetricsDataExposed - 应用程序度量端点已公开
attWordPressPluginXSSCVE20237246 - WordPress 插件跨站点脚本编制 CVE20237246
attAtlassianConfluenceBrokenAccessCVE202322515 - Atlassian Confluence 访问中断 CVE 2023 22515
SriValidation - 验证 SRI 完整性检查
CSP 规则 - 重新设计了 CSP 评估,从而可以检测到 17 个新的内容安全性策略问题
易受攻击的组件数据库已更新到版本 1.6
