WebInspect是一款漏洞扫描工具,支持1763个漏洞类别,涵盖45+语言,覆盖超过一百万个独立AP。 WebInspect一个非常大的亮点是能够与DevOps流程和软件开发生命周期(SDLC)的无缝集成,方便开发团队在整个开发流程中嵌入安全测试,它的安全规则库也较为全面,更新及时。近日WebInspect 发布了最新版本26.2,一起来看一下最新版本中的更新内容。
1、功能更新:
双因素认证(2FA)支持:
新增表单配置字段,可安全扫描需 2FA 认证的应用,严格保障访问控制合规性。
站点树查看与下载:
支持查看动态手动扫描抓取的站点树,可直接从「扫描页面」下载,提升应用结构分析效率。
结果分类展示:
支持按「人工评估」或「自动扫描」对 Dynamic+ 检测结果分类,清晰呈现漏洞发现方式。
2、标准合规与工具集成
安全标准全覆盖:
完整支持 DISA STIG 6.4、CWE 25 大高危漏洞 2025 版、OWASP 十大风险 2025 版、OWASP 大语言模型应用十大风险 2025 版,贴合国内 GB/T 34944 等合规要求。
SBOM 扩展:
支持导入符合 CycloneDX 1.7 规范的 JSON 格式软件物料清单,原有版本兼容不变。
MAST+ 优化:
扫描时表单认证最多可添加 3 个额外凭证字段,适配高级认证流程。
本地版翻译器调整:
新版 Kotlin 翻译器为默认,若遇兼容问题可通过 -use-k1 命令行参数切换旧版,并反馈技术支持。
3、漏洞支持
访问控制:缺少授权检查
CVE-2026-27944描述了一种漏洞,该漏洞通过Nginx界面——Nginx基于网络的管理仪表盘——暴露敏感数据。漏洞在于未认证的 /api/backup 端点,它返回完整的加密系统备份以及 X-Backup-Security 响应头中的解密密钥,使未认证攻击者能够获取并解密包括凭证、会话令牌、SSL 私钥和 Nginx 配置在内的敏感服务器数据。该漏洞影响了 2.3.3 之前所有 Nginx UI 版本。本版本包含检测机制,用于识别暴露的 Nginx UI 实例中的该漏洞。
提示注入
提示注入是一种针对使用LLM应用程序的攻击技术,恶意用户通过操控模型输入来改变预期行为。这可能包括让LLM忽略之前的指令、泄露敏感数据,以及生成有害或无意输出。
提示注入模型/提供者信息披露
本版本增加了LLM模型和提供者披露的提示注入子类型覆盖,以提供模型泄露信息的清晰指标。这使得攻击者能够及早发现侦察式的泄露,从而定制更有效的提示注入攻击。
提示注入改进
本版本通过引入细粒度子类别,扩展了提示注入的覆盖范围。升级后的检查改善了关键结果的路由和报告,包括以下内容:
• LLM指令边界突破确认
• LLM指令边界仅
由模型护栏强制执行 • LLM敏感凭证披露
• LLM系统提示符内容提取
• LLM输出未净化输出给客户端
该版本引入了可配置的 CheckInputs 规避处理,适用于 Base64、ROT13、Unicode 和 Leetspeak 规避。此外,客户还可以在CheckInputs中配置攻击模式,允许对攻击载荷使用规避。
4、合规报告
网络韧性法案(2024年)
欧盟CRA是一项强制性法规,规定了硬件和软件产品在整个生命周期内的安全要求和标准。本次 OpenText DAST SecureBase 更新包含一个新的合规报告模板,提供了 CRA 附录 I 规定的 CRA “基本网络安全要求”与 OpenText DAST 检查之间的关联。
5、政策更新
网络韧性法案(2024年)
一项针对CRA 2024相关检查的定制策略已被添加到OpenText DAST SecureBase支持政策列表中。
6、减少误报
在本次发布中,我们投入了资源,进一步减少误报数量,并提升客户审计问题的能力。客户还可以预期以下领域报告结果会发生变化。
经常被误用:弱SSL证书
本版本改进了弱SSL证书检测结果,将自签名证书检测和未验证证书检测分开,形成不同的检查,以提供更清晰的修复指导。自签名(11380)用于识别服务器自身签署的证书;未验证(11635)用于识别无法通过受信任CA验证的证书。这种拆分允许客户根据具体的信任边界失效优先处理修复。
批判与高政策
在关键与高严重度政策中新增21项高影响检查,提升了对身份验证、注入和访问控制漏洞的检测覆盖。
档案文件扩展
通过添加可配置的签名 CheckInputs“静态资产类型”来识别静态资产文件类型,改进了归档文件扩展名(Check ID 11405)检测。检查现在跳过了对已知静态资产的扩展.gz,从而减少了在服务预压缩静态资源的应用中的误报。
以上就是漏洞扫描工具WebInspect最新版本WebInspect 26.2的一些更新内容,如需工具试用可私信我。
