免責宣告
請勿利用文章內的相關技術從事非法測試。由於傳播、利用此文所提供的資訊而造成的任何直接或者間接的後果及損失,均由使用者本人負責,作者不為此承擔任何責任,請務必遵守網路安全法律法規。本文僅用於測試,請完成測試後24小時刪除,請勿用於商業用途。如文中內容涉及侵權行為,請及時聯絡作者,我們會立刻刪除並致歉。
0x01 簡介
AppScan是一款網路安全測試工具,屬於HCL(前IBM)品牌旗下,主要用於檢測Web應用程式、API和移動應用程式的安全漏洞。AppScan具有靜態、動態、互動式和開源掃描引擎,可以部署在開發生命週期的各個階段。它使用人工智慧和機器學習來實施安全最佳實踐和合規性,幫助軟體開發人員檢測和修復漏洞。AppScan套件包括多種工具,如AppScan Standard(動態應用程式安全測試工具)、AppScan Source(滲透性內部靜態應用程式安全測試工具)和AppScan Enterprise(可伸縮的應用程式安全測試工具),還包括AppScan on Cloud(ASoC),這是一套全面的應用程式安全測試軟體,可作為服務提供。
對於Web應用程式,AppScan能夠自動發現和評估常見的Web漏洞,如XSS、SQL隱碼攻擊、敏感資訊洩露等;對於移動應用程式,它可以分析應用的二進位制程式碼,發現應用中的漏洞和安全問題。其工作原理包括利用爬蟲技術進行網站安全滲透測試,自動對網頁連結進行安全掃描,利用“探索”技術發現網站的結構和目錄,然後使用掃描規則庫對發現的每個頁面的每個引數進行安全檢查。AppScan還提供風險管理儀表板,透過它使用者可以獲得跨靜態、動態、互動式和開源測試的可擴充套件應用程式安全測試,實現對風險和合規性的可見性。
獲取方式:
下載獲取方式
0x02 更新內容
- 重新設計了 AppScan Connect - AppScan Enterprise 介面,允許立即或延遲執行掃描,並能夠選擇掃描方法。
- 能夠輕鬆地將測試策略中的完整測試列表(不包括變體)匯出到 CSV 檔案,而不考慮是否啟用了測試。
- “問題”檢視中的高階搜尋:透過在請求/響應或“問題”表中搜尋特定字串,輕鬆導航瀏覽資料。
- 新增了新的測試策略:
- OWASP 前 10 大 API 安全風險 – 2023
- OWASP Top 10 – 2021
- 更新的合規性報告:
- OWASP API Security Top 10 2023
- [US] DISA's Application Security and Development STIG。V5R3
- 2023 年 CWE Top 25 最危險的軟體漏洞
- 支付卡行業資料安全標準 (PCI DSS) - V4
- 重構了錯誤頁面:現在,您可以定義字串和正規表示式,以標識響應內容和/或路徑中的錯誤頁面。
修復和安全更新
此發行版中的新安全規則包括:
- postMessageInfoLeak - postMessage() - 已新增以檢測可能的資訊洩漏
- WordPressQEMPluginXSSCVE202323491 - 已新增用於 CVE-2023-23491 檢測
- attApacheStrutsCVE20190230RCEOGNL - 為 RCE 新增了定製的網路伺服器檢測支援
- attAPIBrokenObjectLevelAuthorizationPath - 為“失效的物件級別授權”新增了路徑變體
- 易受攻擊的元件資料庫已更新到版本 1.3
有關此發行版中的修復以及新的已更新安全規則的完整列表,請參閱 AppScan Standard 修復列表。
已在此發行版中更改
- 已刪除嵌入式 Internet Explorer 瀏覽器。
- 對於 V9.0.3.1 之前的 AppScan Enterprise 版本,已刪除以 XML 格式匯出掃描結果的功能。
- 在 AppScan CMD 中,不支援“xml_report”格式。您可以改用“xml”報告格式。
0x03 安裝過程
1、下載後臺壓縮包解壓後可以看到存在以下檔案:
2、雙擊AppScan_Setup_10.5.0.exe進行安裝
3、選擇我同意,然後點選下一步
4、選擇要安裝的目錄資料夾,預設C盤,可以根據自己的情況來選擇
5、點選安裝之後耐心等待幾分鐘
6、完成安裝
7、把dll下的檔案(AppScanSDK.dll、HclLicenseProvider.dll)替換到上面AppScan安裝的目錄
8、然後雙擊開啟 AppScan顯示已經永久破解,美滋滋
PS:如果安裝完成後,AppScan一直自啟,可以在工作管理員中結束程序。
關注Z0安全公眾號回覆【AppScan】獲取破解版!!!
關注Z0安全公眾號回覆【AppScan】獲取破解版!!!