AppScan是一款领先的应用程序安全测试平台,前身是IBM Rational AppScan,能够通过静态分析(SAST)、动态分析(DAST)、交互式分析(IAST)及软件成分分析(SCA)等“三位一体”的技术,全面测试Web应用、API、移动应用及容器中的安全漏洞。是业内较为认可的一款软件安全测试工具,被广泛用于金融、政府、电商等行业的大型企业和安全团队中。
在该工具应用最为普遍的动态应用安全测试(DAST)方面,通过模拟黑客攻击方法对运行中的 Web 应用和 API 进行自动化扫描,精准识别 SQL 注入、跨站脚本(XSS)、权限绕过等常见高危漏洞,并提供详尽的漏洞报告、修复建议及合规性评估(支持 PCI-DSS、ISO 27001、等保 2.0 等 40 余种标准模板),帮助企业在软件开发全生命周期中筑牢安全防线 。
近期, AppScan 发布了最新版本 AppScan 10.11.0,本文分享AppScan Standard 最新版本中的新增功能、增强功能、修复内容、即将发生的重要变化以及弃用情况。
改进了特权升级: 基于已探索数据的中断的访问控制验证。
DAST-IFA 支持:Azure OpenAI 5.x 模型。
CVSS 4.0 支持:现在可以在问题信息 UI 和报告中跟踪 CVSS 3.1 和 CVSS 4.0 的指标。漏洞排名继续基于 CVSS 3.1 标准。
自动登录改进,包括对 Vue JS 框架的支持。
能够通过仪表板将未探索的域添加到扫描范围。
发现 Swagger/OpenAPI 定义文件时将发出参考信息警报,以确保 API 可见性。
提供一系列增强功能和重新设计,旨在提高多个对话框的可用性:
用于登录、多步骤操作和 LLM 的 AppScan 嵌入式浏览器。
手动测试
许可协议对话框
AppScan 日志
合规性报告
2025 年 OWASP 十大安全风险
报告将问题状态显示为干扰。
修复和安全更新
此发行版中的新安全规则包括:
attWallosRCECVE202455371 - Wallos 远程代码执行 (RCE) CVE-2024-55371 和 CVE-2024-55372
attAPIOpenAPIFinding - 用于检测 OpenAPI/Swagger 端点的新规则
attJSONPathPlusRCECVE20251032 - 针对 CVE-2025-1032 的 JSONPath-Plus 远程代码执行
attNestRCECVE202554782 - Node.js Nest 框架远程代码执行 (RCE) CVE-2025-54782
NonQuantumResistantCiphers -“检测到非量子抗性密码套件”
attWordPressFunnelKitAutomationplugincve20251562 - WordPress FunnelKit Automations 插件漏洞 (CVE-2025-1562)
attGetSimpleCMSRCECVE202548492 - GetSimple CMS 远程代码执行 (RCE) CVE-2025-48492
FlaskWeakSecretKey -“Flask 弱密钥”
ExpressJsWeakSecretKey -“Express.js 会话密钥强度不足”
DjangoWeakSecretKey -“Django 弱安全密钥”
ViewStateWeakSecretKey -“ASP.NET ViewState 弱安全密钥”
LaravelWeakSecretKey -“Laravel (PHP) 弱安全密钥”
SymfonyWeakSecretKey -“Symfony (PHP) UriSigner 弱签名密钥”
attElysiaCVE202566456 - Elysia 远程代码执行 (RCE) CVE-2025-66456
易受攻击的组件数据库已更新到版本 1.10
以上就是软件安全测试中常用漏扫工具AppScan 最新版本AppScan 10.11.0更新内容的介绍,如需软件7天试用,可私信我。
