AppScan

AppScan 

工具介绍:

AppScan Standard是一种动态分析工具,通过使用类似于黑客使用的方法的技术攻击应用程序来评估运行时的应用程序安全性。测试结果包括一组丰富的数据,从应用程序清单到详细的攻击流量,这些数据可以重现以进行验证和修复。这些数据可以在 UI 界面中检查和处理,也可以以各种格式导出,以便在其他工具中共享。

  • 支持最新的 Web 2.0 技术:包括 JavaScript 和 Adob​​e® Flash 应用程序的解析和执行,对 AJAX 和 Adob​​e® Flex 相关协议(如 JSON、AMF 和 SOAP)的深入理解,对复杂 SOA 环境的全面支持以及自定义配置Mashup 和流程驱动的应用程序的报告
  • 新的!扫描和检测 Web 属性中的嵌入式恶意软件,进一步保护免受网络攻击。作为 AppScan eXtension 提供
  • 定制和可扩展性功能:AppScan eXtension Framework 使用户社区能够构建和共享开源插件
  • 使用 Results Expert 向导简化扫描结果:提供修复扫描期间发现的问题所需的高级修复建议
  • 渗透测试人员的自动化功能:高级测试实用程序和 Pyscan 框架补充了手动测试,提供更高的功能和效率
  • 合规性报告:40 份开箱即用的合规性报告,包括 PCI 数据安全标准、ISO 17799、HIPAA、ISO 27001 和 Basel II

 

 

更新日期:

  • AppScan 10.0.6.28111 2021年12月17日

下载地址:

破解步骤:

先双击运行程序包进行安装,然后把破解补丁复制替换到C:\Program Files (x86)\HCL\AppScan Standard文件夹下,即可破解使用

 

 

启动AppScan设置中文显示,在菜单栏中选择Tools->Options->General->Select Language->中文简体->重启AppScan即可

 

 

0x02 新升级UI预览体验

AppScan 推出了新的标准技术预览代码版本,只需在安装目录C:\Program Files (x86)\HCL\AppScan Standard\下启动 AppScanGui.exe 即可

AppScan Standard现在提供新的主屏幕体验,新的欢迎屏幕将有助于:

  • 开始新的扫描
  • 继续之前保存的工作
  • 包括使用完整配置启动扫描的向导选项
  • 打开扫描演示
  • 访问最近的扫描和模板
  • 固定常用模板

 

 

AppScan Standard 用户现在可以在深色模式和浅色模式之间更改使用体验

 

 

在“问题”视图中添加了新工具,例如搜索、排序和过滤器,以提高分类流程的效率

 

 

0x03 近期更新漏洞检查

  • 检测请求走私漏洞
  • SSTI(服务器端模板注入)
  • SSRF(服务器端请求伪造)
  • JWT:JSON Web 令牌中的弱签名
  • OAuth:跨站点请求伪造
  • OAuth:隐式授权类型
  • CVE-2017-1000486:PrimeFaces RCE
  • CVE-2020-25213:WordPress RCE
  • CVE-2021-2109:Oracle WebLogic RCE
  • 检测 JS 文件中的基本身份验证
  • 检测 Log4j 漏洞 CVE-2021-44228 和 CVE-2021-45046

0x04 近期版本修复内容

  • 将结果导出为 .XML 时未正确显示扫描持续时间
  • 测试政策和建议之间的测试名称的韩语翻译不匹配
  • AppScan 标准注册表键值在 AppScan 升级后未更新
  • 针对“弱密码套件:不支持 AEAD”漏洞的建议应包含受支持的密码套件
  • 密码测试报告完整路径而不是域名的漏洞
  • “完美前向保密”测试名称的更改请求
  • AppScan Standard 不支持 Edge Chromium 记录流量(手动探索)
  • 未正确跟踪自定义参数
  • 导入请求中包含过多参数的 .exd 文件时,AppScan Standard 将挂起
  • “不必要的响应标头”漏洞的“修复建议”包含日语中的损坏链接
  • CSP(内容安全策略)修复建议应该改写
  • 通过 Bash(又名 ShellShock 又名 Bashdoor)FP 的 RCE
  • IBM WebSphere“WASPostParam”Cookie 反序列化拒绝服务的误报
  • 在 AppScan 咨询中更新 CSRF 和 XSS 描述
  • CommonGuiSettings.json 导致 AppScan Standard 启动缓慢
  • 扫描似乎挂起,TrafficLog 中有许多“ServerDownCheck”条目
  • 无法保存“日志文件大小”值
  • 首次加载 AppScan,未翻译问题名称
  • 当操作系统区域设置设置为法语时 AppScan 崩溃
  • 将“ADNS Blind SSRF”导出为旧版 xml 扫描结果将失败
  • 帐户锁定不足的潜在误报
  • AppScan Standard 中未正确显示许可证数量
  • 扫描几乎在“仅测试多步操作”开始后立即停止
  • AppScan 执行了 1K 次失败的登录尝试
  • 检测到 SHA-1 密码套件”修复建议的日语链接丢失
  • Accept-Language 配置设置的默认值不正确

AppScan官网更新日志:https://help.hcltechsw.com/appscan/Standard/10.0.6/r_WhatsNew001.html

参考文章


 文章作者: LuckySec
 版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 LuckySec !

AppScan使用教程

时间:2020/06/05 18:20:11作者:不详我要评论(0)用手机看

AppScan是互联网上比较受欢迎的web安全扫描工具,但在web应用程序渗透测试舞台上没有一点专业知识那是很难自学掌握这款软件的,所以这里小编带来了关于AppScan使用教程,以此帮助非专业的网友也能轻松实现安全扫描的操作!下面一起跟随小编看看它吧!

AppScan使用教程

1、打开AppScan后,点击左上角文件->新建或者Ctrl+N创建扫描;

2、选择扫描WEB应用程序;

3、在扫描配置向导中,URL和服务器中,输入起始URL,然后点击“下一步”;

4、登录管理,点击“下一步”,提示“该选项需要您记录新的登录序列,或装入之前记录的序列,仍要继续吗?”,点击“是”;

5、测试策略,点击“下一步”;

6、IBM security Appscan 的扫描策略旁边都会附带说明,一般情况下选择”完成”即可。
即:该策略包含所有 AppScan 测试,但端口侦听器测试除外。

7、最后完成扫描配置向导的选择默认即可。


posted @   ianCloud  阅读(414)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· DeepSeek “源神”启动!「GitHub 热点速览」
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· C# 集成 DeepSeek 模型实现 AI 私有化(本地部署与 API 调用教程)
· DeepSeek R1 简明指南:架构、训练、本地部署及硬件要求
· NetPad:一个.NET开源、跨平台的C#编辑器
历史上的今天:
2022-05-23 使用 u盘 在服务器上, 安装 windows server 2012 R2 标准版
点击右上角即可分享
微信分享提示