AppScan网络安全测试工具

HCL AppScan Standard简称AppScan，是隶属于HCL品牌旗下，一款网络安全测试工具，支持windows操作系统，可以对网站应用进行自动化的安全扫描测试。相比较同类型awvs软件，AppScan采用全新的爬虫技术，能够根据网站入口自动摸取网页链接进行安全扫描，提供了扫描、报告和修复建议等功能，满足广大用户的使用需求。除此之外，该软件动态分析、静态分析和互动分析三种不同的测试功能，支持可自动化 Web 应用的安全漏洞评估工作，能扫描和检测所有常见的 Web 应用安全漏洞，是你日常生活必备的扫描神器。

与之前版本相比，全新的AppScan10改进了帮助文件格式，现在可以在缺省浏览器中直接打开。支持供英语、法语、日语、简体中文和繁体中文等多国语言，带给用户更好的使用体验。与此同时，软件还新增了使用 AppScan DNS 解析，提升了对例如 OS 命令、SSRF 和 XXE 攻击等漏洞的检测能力，此类漏洞无法通过已测试的应用程序直接检测，提高你的扫描效率。

HCL AppScan Standard安装教程

1、下载解压缩，得到获得AppScan原程序和对应补丁，双击exe运行；

2、根据自己的需求选择对应语言；

3、等待下载组件；

4、选择我同意，点击下一步；

5、点击安装；

6、等待一下；

7、安装完后，先不要运行软件；

8、将文件夹中AppScanSDK.dll、HclLicenseProvider.dll两个dll文件复制到软件安装目录下替换，如图所示；

默认路径：C:\Program Files (x86)\HCL\AppScan Standard

9、随后运行软件，便可以无限制进行使用了。

功能介绍

1、动态分析（“黑盒扫描”）

这是主要方法，用于测试和评估运行时的应用程序响应。

2、静态分析（“白盒扫描”）

这是用于在完整 Web 页面上下文中分析 JavaScript 代码的独特技术。

3、交互分析（“glass box 扫描”）

动态测试引擎可与驻留在 Web 服务器本身上的专用 glass-box 代理程序交互，从而使AppScan10能够比仅通过传统动态测试时识别更多问题并具有更高准确性。

4、AppScan10 的高级功能包括：

常规和法规一致性报告，并提供超过 40 个不同的开箱即用模板

新功能

自动更新：新增功能——通过配置 API 密钥以连接 My HCLSoftware (MHS)，自动将新更新应用于 AppScan。有关更多信息，请参阅自动更新。

定制脚本：使用 AppScan 的内置 JavaScript 运行时将动态行为添加到 DAST 扫描中。AppScan 可以在发送请求之前或在扫描期间收到响应之后运行定制脚本。将针对每个 HTTP 请求和响应执行该脚本。

重新设计了各项扫描配置的正则表达式对话框，以提高可用性。

恢复了通过“工具”>“选项”> 记录代理访问 AppScan SSL 证书部分的选项。

使用 URL 为 Postman 集合配置扫描时，重新扫描现在将从该 URL 获取更新的 Postman 内容。

增强了 DAST 引擎中的自动登录检测功能。

更新日志

v10.8.0版本

attAppMetricsDataExposed - 应用程序度量端点已公开

attWordPressPluginXSSCVE20237246 - WordPress 插件跨站点脚本编制 CVE20237246

attAtlassianConfluenceBrokenAccessCVE202322515 - Atlassian Confluence 访问中断 CVE 2023 22515

SriValidation - 验证 SRI 完整性检查

CSP 规则 - 重新设计了 CSP 评估，从而可以检测到 17 个新的内容安全性策略问题

易受攻击的组件数据库已更新到版本 1.6