概述
HCL AppScan Standard 是 HCL AppScan 应用程序安全测试套件的渗透测试组件,用于测试 Web 应用程序和 API。它具有识别安全漏洞的前沿方法和技术,可帮助保护应用程序免受网络攻击的威胁。
HCLAppScan Standard是动态分析工具,通过使用类似于黑客使用的方法攻击应用程序,在运行时评估应用程序安全性。测试结果包括从应用程序清单到详细攻击流量的一系列丰富数据,系统可以重现这些数据以进行验证和修复。可以在 UI 中检查和处理这些数据,也可以采用各种格式导出这些数据,以便在其他工具中共享。
除了尖端测试设施外,AppScan 还包括其他功能,可帮助您尽可能高效地运行测试程序。这些功能包括:
- 常规和法规一致性报告,并提供超过 40 个不同的开箱即用模板
- 通过 AppScan eXtension Framework 或通过使用 AppScan SDK 直接集成到现有系统内来实现的定制和可扩展性
- 内置优化机制,可帮助集中测试应用程序最可能发生问题的部分中可能出现的问题
- AppScan Standard可帮助您在站点部署之前并且为生产阶段的进行中风险评估来降低 Web 应用程序攻击和数据违规的风险。
支持的技术
站点使用的某些技术可能会影响 AppScan 扫描站点的能力,但是其他技术完全不会影响扫描。
- AppScan 是一个“黑盒”(DAST) 工具,与浏览器使用相同的机制访问站点。因此,对于浏览器透明的服务器端技术对于 AppScan 也透明,但不会影响扫描。
- 客户机端技术(如 JavaScript 和 HTTP 协议)本身的确会影响 AppScan。为了成功扫描,AppScan 利用嵌入产品的实际浏览器来处理网页,就如同使用在市场上可获得的浏览器一样。这可确保支持所有常用技术。有时可能需要附加配置来帮助 AppScan 理解元素的上下文,从而正确处理简单浏览之外的工作,这通常针对扫描的测试阶段。
- 支持 WebSocket 登录记录和登录回放。
AppScan扫描包含两个主要阶段:探索和测试。针对每个阶段,下表提供了理解哪些服务器端和客户机端技术可能会影响扫描的准则以及需要配置的情况。
服务器端技术 | 客户机端技术 | |
---|---|---|
探索阶段 | 任何不影响客户机的服务器端技术(如使用的特定数据库)不会以任何方式影响扫描。只要 AppScan 配置正确,很多影响客户机的机制(如会话管理)都不会限制扫描。例如,Web 服务器和应用程序服务器影响管理会话标识的方式,AppScan 必须能够跟踪这些标识。很多常见会话标识已预定义或可以由 AppScan 自动检测,不需要其他配置。但是,某些定制机制可能仍需要其他配置。AppScan 特别支持 WebSphere Portal 定制 URL。WSP 对 URL 的编码方式使其在显示时很难跟踪。AppScan 会解码这些 URL,以理解这些 URL 并对其进行调优。 | AppScan 使用完全嵌入式浏览器,它自动支持所有主要技术 (HTML5),包括许多常用的 JavaScript 框架,例如 Angular、React 和 JQuery。如果自动探索阶段因特定技术而丢失页面,或由于实现阻挡自动探索而丢失页面,可以在自动探索之后,测试阶段之前,通过手动探索将这些页面添加到扫描。 |
测试阶段 | AppScan 旨在测试应用程序而不是其支持技术,因此它们不会影响测试。再次考虑数据库:AppScan 的 SQL 注入测试套件与所用的数据库无关。它还可以为第三方测试(常见漏洞测试)提供特定测试。 | 客户机端 JavaScript 漏洞使用嵌入式浏览器进行测试。同样使用 Black-Box (DAST) 方法实施测试。对浏览器环境进行控制,并按原样执行 JavaScript 以显示漏洞。AppScan 支持现代浏览器所支持的所有执行方法。 |
本部分介绍此版本中的新增AppScan Standard产品功能和增强功能,以及相关弃用和预期变更。
HCL AppScan Standard 10.2.0 中的新增功能
- 问题严重性和 CVSS 评分现在基于 CVSS V3.1。使用 2.0 评分运行的扫描可以应用 3.1 评分(这可能会改变某些问题评分和严重性)或按原样查看。
- 根据 CVSS 3.1,为安全问题添加了新的严重性级别 - “严重”。
- 先前的“配置”对话框进行了改进、重组,并作为本地视图集成在主用户界面中。
- Web API 扫描现在通过新的“配置”视图进行配置(请参阅API)。
- 在新的“配置”视图中,扫描向导替换为了“预设”,向您显示用于快速设置的基本选项。
- 现在,从“文件”菜单(文件 > 新建 > 递增扫描)访问递增扫描。
- 更新了合规性报告模板:[美国]《加利福尼亚州消费者隐私法案》(CCPA) - AB-375。
修复和安全更新
此发行版中的新安全规则包括:
- MaxLengthVuln - 搜索具有非常大约束的“maxlength”属性
- LeakedSecretTokens - 在响应中搜索机密令牌
- SecurityRule_AbstractContentSecurityPolicyRule - 添加了新的抽象 CSP 规则(包含常见的检测和变异)
- attNoHttpsRedirection - 在使用 HTTP 方案时检查 HTTPS 重定向
- attText4Shell - 为 Text4Shell 漏洞添加了新规则 (CVE-2022-42889)
- attGraphqlIntrospectionMutation - 检查是否在 GraphQL API 中启用了自我检查
有关此发行版中修复、安全规则更新和 RFE 的完整列表,请参阅 AppScan Standard 修复列表。
已在此发行版中更改
- 此版本中删除了使用外部 Internet Explorer 浏览器的选项,因为 Microsoft 不再支持 IE。
- 现在,以 XML 格式导出的扫描数据以及相关报告指示哪个 CVSS 版本用于对问题严重性进行评分,以及完整的 CVSS 向量字符串。
- 在“配置”视图中,测试策略和测试优化合并到了单个面板中。
- 删除了切换到旧用户界面的功能。
- 现在,配置更改会立即生效,无需单击“确定” 。
- 现在,从“文件”菜单(文件 > 新建 > 递增扫描)访问递增扫描。
即将推出的变更
以下功能将在将来的版本中删除:
- 嵌入式 Internet Explorer 浏览器将在 AppScan 的将来版本中删除。
- Web 服务、“关键的少数”和“开发者精要”测试策略将被删除,因为现在可以使用其他策略实现类似的结果(请参阅此处)
- 对于 V9.0.3.1 之前的 AppScan Enterprise 版本,以 XML 格式导出扫描结果的功能。