AppScan網(wǎng)絡安全測試工具

HCL AppScan Standard簡稱AppScan，是隸屬于HCL品牌旗下，一款網(wǎng)絡安全測試工具，支持windows操作系統(tǒng)，可以對網(wǎng)站應用進行自動化的安全掃描測試。相比較同類型awvs軟件，AppScan采用全新的爬蟲技術，能夠根據(jù)網(wǎng)站入口自動摸取網(wǎng)頁鏈接進行安全掃描，提供了掃描、報告和修復建議等功能，滿足廣大用戶的使用需求。除此之外，該軟件動態(tài)分析、靜態(tài)分析和互動分析三種不同的測試功能，支持可自動化 Web 應用的安全漏洞評估工作，能掃描和檢測所有常見的 Web 應用安全漏洞，是你日常生活必備的掃描神器。

與之前版本相比，全新的AppScan10改進了幫助文件格式，現(xiàn)在可以在缺省瀏覽器中直接打開。支持供英語、法語、日語、簡體中文和繁體中文等多國語言，帶給用戶更好的使用體驗。與此同時，軟件還新增了使用 AppScan DNS 解析，提升了對例如 OS 命令、SSRF 和 XXE 攻擊等漏洞的檢測能力，此類漏洞無法通過已測試的應用程序直接檢測，提高你的掃描效率。

HCL AppScan Standard安裝教程

1、下載解壓縮，得到獲得AppScan原程序和對應補丁，雙擊exe運行；

2、根據(jù)自己的需求選擇對應語言；

3、等待下載組件；

4、選擇我同意，點擊下一步；

5、點擊安裝；

6、等待一下；

7、安裝完后，先不要運行軟件；

8、將文件夾中AppScanSDK.dll、HclLicenseProvider.dll兩個dll文件復制到軟件安裝目錄下替換，如圖所示；

默認路徑：C:\Program Files (x86)\HCL\AppScan Standard

9、隨后運行軟件，便可以無限制進行使用了。

功能介紹

1、動態(tài)分析（“黑盒掃描”）

這是主要方法，用于測試和評估運行時的應用程序響應。

2、靜態(tài)分析（“白盒掃描”）

這是用于在完整 Web 頁面上下文中分析 JavaScript 代碼的獨特技術。

3、交互分析（“glass box 掃描”）

動態(tài)測試引擎可與駐留在 Web 服務器本身上的專用 glass-box 代理程序交互，從而使AppScan10能夠比僅通過傳統(tǒng)動態(tài)測試時識別更多問題并具有更高準確性。

4、AppScan10 的高級功能包括：

常規(guī)和法規(guī)一致性報告，并提供超過 40 個不同的開箱即用模板

新功能

自動更新：新增功能——通過配置 API 密鑰以連接 My HCLSoftware (MHS)，自動將新更新應用于 AppScan。有關更多信息，請參閱自動更新。

定制腳本：使用 AppScan 的內(nèi)置 JavaScript 運行時將動態(tài)行為添加到 DAST 掃描中。AppScan 可以在發(fā)送請求之前或在掃描期間收到響應之后運行定制腳本。將針對每個 HTTP 請求和響應執(zhí)行該腳本。

重新設計了各項掃描配置的正則表達式對話框，以提高可用性。

恢復了通過“工具”>“選項”> 記錄代理訪問 AppScan SSL 證書部分的選項。

使用 URL 為 Postman 集合配置掃描時，重新掃描現(xiàn)在將從該 URL 獲取更新的 Postman 內(nèi)容。

增強了 DAST 引擎中的自動登錄檢測功能。

更新日志

attAppMetricsDataExposed - 應用程序度量端點已公開

attWordPressPluginXSSCVE20237246 - WordPress 插件跨站點腳本編制 CVE20237246

attAtlassianConfluenceBrokenAccessCVE202322515 - Atlassian Confluence 訪問中斷 CVE 2023 22515

SriValidation - 驗證 SRI 完整性檢查

CSP 規(guī)則 - 重新設計了 CSP 評估，從而可以檢測到 17 個新的內(nèi)容安全性策略問題

易受攻擊的組件數(shù)據(jù)庫已更新到版本 1.6