AppSpider 7.5.026 for Windows - Web 应用程序安全测试AppSpider 7.5.02

AppSpider 7.5.026 for Windows - Web 应用程序安全测试

Rapid7 Dynamic Application Security Testing (DAST) released March 31, 2026

请访问原文链接：sysin.org/blog/appspi… 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

appspider

没有任何应用程序未经测试，没有未知风险

appspider-computer

Rapid7 AppSec Solutions

Rapid7 应用安全解决方案

AppSpider 是一款动态应用安全测试（DAST）解决方案，可用于扫描 Web 与移动应用中的漏洞。

AppSpider 的核心技术是 Universal Translator（通用转换器），它能够解析现代 Web 与移动应用所使用的新技术（如 AJAX、HTML5 和 JSON），同时也能爬取传统应用。

AppSpider 可部署在本地、托管环境或作为托管服务使用 (sysin)，能够帮助你有效管理应用安全计划，提供深入分析、全面覆盖以及复杂的攻击方法。

AppSpider 的优势包括：

应用程序安全 AppSpider

AppSpider 7.5.026 版本

软件发布日期：2026 年 5 月 27 日 | 发行说明发布日期：2026 年 5 月 27 日

新增功能：

AI 漏洞验证器（Blind SQL） —— 利用 AWS Bedrock 自动评估 Blind SQL（BSQL）漏洞发现结果，过滤误报并提高发现结果的可靠性。
Apache Struts 2 框架检测 —— 新增三个主动式 CVE 检测项：S2-057（CVE-2018-11776）、S2-059（CVE-2019-0230）和 S2-061（CVE-2020-17530）。
基础设施 Cookie 识别 —— 在 Cookie Attributes 模块中加入默认正则表达式，自动将供应商/基础设施 Cookie（例如 Akamai、Cloudflare、AWS）排除在安全检测之外。

改进：

AppSec Scan Engine
- Apache Struts 检测 —— 通过 .do 扩展名、响应头和响应内容指纹增强被动检测能力。
- Cookie Attributes 模块 —— 新增 ExcludeCookieRegex 参数，用于过滤第三方 Cookie，减少误报。
- XPath Injection 模块 —— 扩展攻击载荷，新增 Unicode 智能引号和通配符节点选择支持。
- Blind SQL（BSQL） —— 提升大页面场景下的攻击效率，并优化基于内容检测的高亮显示逻辑。
- Brute Force HTTP 模块 —— 通过将疑似成功登录与已知失败登录进行比对，减少误报。
R7 Crawler
- Shadow DOM —— 改进发现与覆盖能力，生成更完整的 HTML 供分析使用。
- ALF v2.0.4 —— 现已支持 LoggedInRegex 和 LoggedInHeaderRegex 配置选项，用于会话状态验证。
- 事件生成 —— 新增对图像映射中 AREA 标签以及带有 role="button" 元素点击事件的支持。
- Basic Auth —— 扩展对多种 www-authenticate 响应头变体的支持。

修复：

AppSec Scan Engine
- 发现流量显示 —— 修复了在非默认端口情况下，GET 请求行显示绝对 URL 而非 origin-form 格式的问题。
- 自定义宏（Custom Macros） —— 在未使用 AppSpider 插件时，元素不再强制要求采用 XPath 格式。
- 用户日志 —— 抑制主动攻击期间触发的重复登录错误警告信息。
- 数据脱敏 —— 改进敏感数据脱敏处理，同时确保非敏感数据保持可见。

即将到来的 API 解析调整（6 月版本预览）：

OpenAPI 3.1 支持 —— 新增对 OpenAPI 3.1 文档的端点解析支持。
严格 JSON 合规性 —— Swagger 2.0 和 OpenAPI 3.0 的 JSON 格式文档现要求严格符合有效 JSON 标准。
- 对于不符合规范的语法（例如重复键、单引号、未加引号的键名、十六进制数字、前导/尾随小数点或未转义控制字符），将明确报告解析错误。

AppSpider v7.5.026 for Windows x64 - released May 27, 2026

更多相关产品：