前言
HCL AppScan Standard 是一款为安全专家与渗透测试人员设计的动态应用程序安全测试(DAST)工具。它能够通过强大的扫描引擎,自动爬取目标应用并检测漏洞,并以优先级排序的方式输出结果。每个漏洞都会附带清晰、可操作的修复建议,从而帮助用户高效修复问题,降低应用风险。
借助 AppScan Standard,企业可持续性地测试和评估 Web 服务与应用程序的安全性,从而预防潜在的破坏性安全漏洞。
新版本更新亮点
1. API 扫描增强
-
支持 高级 OpenAPI 自动扫描:改进配置功能,提升覆盖范围与漏洞检测效果。
2. AppScan Connect 集成
-
完全支持 AppScan 360°:可直接使用 AppScan Standard 的扫描配置创建扫描,或上传扫描结果至 AppScan 360°。
-
连接方式优化:全新界面更直观,操作体验提升。
3. 新增合规性报告
-
支持 OWASP 云原生应用安全 Top 10、NIS2 指令。
-
支持将多个 CWE 映射至单个漏洞,覆盖范围更广。
4. 扫描效率优化
-
提供 仅保存一种变体测试选项,减少冗余扫描,加快测试速度。
-
报告新增 CVSS 向量,便于风险量化。
-
支持 CSV 批量导入域名,提升配置效率。
5. 可用性与功能增强
-
客户端证书加密支持。
-
文件排除路径与扩展管理器。
-
扫描数据导入、回放调整功能。
-
用户代理与请求头管理优化。
-
增强 自动登录检测,识别更智能。
-
Postman 集合 URL 自动更新,扫描配置更灵活。
6. 扫描规则与漏洞库更新
新增安全规则:
-
WordPress 插件 XSS(CVE-2025-0448、CVE-2025-28665、CVE-2025-23492)
-
NoSQL 注入支持优化(crAPI 演示)
-
Cacti 远程命令执行漏洞(CVE-2024-46169)
漏洞组件数据库更新至 V1.4。
7. 其他改进
-
基于 HCL MHS 的许可证管理(需购买 MHS 许可证)。
-
自动更新:可通过 API Key 连接 My HCLSoftware,实现自动升级。
-
定制脚本功能:允许在扫描请求发送前/收到响应后运行 JavaScript,增强 DAST 的灵活性。
-
正则表达式对话框与 SSL 证书管理优化。
安装与使用方法
-
将提供的 两个补丁 DLL 文件 手动复制至安装路径:
C:\Program Files (x86)\HCL\AppScan Standard -
选择 替换 原文件,即可完成安装。
免责声明
本工具及相关文章技巧仅面向 合法授权的企业安全建设行为。
-
如需测试,请在本地或自建靶机环境下操作。
-
本文涉及的漏洞检测内容仅为 理论判断,不涉及漏洞利用代码。
-
使用者需确保检测行为 符合当地法律法规,并且已获得足够授权。
-
若将本工具用于非法目的,责任由使用者自行承担,本文与工具来源方不承担任何法律责任。
⚠️ 注意:请在 24 小时内删除相关软件,勿用于商业用途,谨防后门与广告。安装及使用本工具前,请务必完整阅读免责声明并理解其中的权责条款。
✅ 总结:
HCL AppScan Standard 10.9.0 在 API 扫描、合规性报告、漏洞检测、可用性优化 等方面均有重大更新。通过自动化、智能化的扫描与分析,它能够帮助企业在软件开发与运维阶段尽早发现并修复漏洞,从而有效降低安全风险。
扫一扫
2355
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
