AppScan Standard10.11.0中的新增功能

2026 年 3 月， AppScan Standard 最新版本中的新增功能、增强功能、修复内容、即将发生的重要变化以及弃用情况。

• 改进了特权升级 - 基于已探索数据的中断的访问控制验证。
• DAST-IFA 支持 Azure OpenAI 5.x 模型。
• CVSS 4.0 支持：您现在可以在问题信息 UI 和报告中跟踪 CVSS 3.1 和 CVSS 4.0 的指标。漏洞排名继续基于 CVSS 3.1 标准。
• 自动登录改进，包括对 Vue JS 框架的支持。
• 能够通过仪表板将未探索的域添加到扫描范围。
• 发现 Swagger/OpenAPI 定义文件时将发出参考信息警报，以确保 API 可见性。
• 提供一系列增强功能和重新设计，旨在提高多个对话框的可用性，如下所示：
  • 用于登录、多步骤操作和 LLM 的 AppScan 嵌入式浏览器。
  • 手动测试
  • 许可协议对话框
  • AppScan 日志
• 合规性报告
  • 2025 年 OWASP 十大安全风险
  • 报告将问题状态显示为干扰。

修复和安全更新

此发行版中的新安全规则包括：

• attWallosRCECVE202455371 - Wallos 远程代码执行 (RCE) CVE-2024-55371 和 CVE-2024-55372
• attAPIOpenAPIFinding - 用于检测 OpenAPI/Swagger 端点的新规则
• attJSONPathPlusRCECVE20251032 - 针对 CVE-2025-1032 的 JSONPath-Plus 远程代码执行
• attNestRCECVE202554782 - Node.js Nest 框架远程代码执行 (RCE) CVE-2025-54782
• NonQuantumResistantCiphers -“检测到非量子抗性密码套件”
• attWordPressFunnelKitAutomationplugincve20251562 - WordPress FunnelKit Automations 插件漏洞 (CVE-2025-1562)
• attGetSimpleCMSRCECVE202548492 - GetSimple CMS 远程代码执行 (RCE) CVE-2025-48492
• FlaskWeakSecretKey -“Flask 弱密钥”
• ExpressJsWeakSecretKey -“Express.js 会话密钥强度不足”
• DjangoWeakSecretKey -“Django 弱安全密钥”
• ViewStateWeakSecretKey -“ASP.NET ViewState 弱安全密钥”
• LaravelWeakSecretKey -“Laravel (PHP) 弱安全密钥”
• SymfonyWeakSecretKey -“Symfony (PHP) UriSigner 弱签名密钥”
• attElysiaCVE202566456 - Elysia 远程代码执行 (RCE) CVE-2025-66456
• 易受攻击的组件数据库已更新到版本 1.10

有关此发行版中的修复、新的已更新安全规则以及 RFE 的完整列表，请参阅 AppScan Standard 修订列表。

已在此发行版中更改

• “工具”>“选项”>“测试选项”下的 AI 配置（位于 AI 设置中）已更新，以包含部署标识。
• AppScan Connect：您现在可以在上载 AppScan on Cloud 和 AppScan 360° 的结果时包含扫描配置
• 可访问性：持续增强以提高可访问性。
• 在录制流量时可以轻松访问外部浏览器。
• 特权升级 - 中断的访问控制现在在扫描文件中包含参考文件。因此，参考文件的任何后续更新都不会反映在扫描文件中。

即将推出的变更

• AppScan Standard 10.7.0 将于 2027 年 3 月 30 日停止支持 (EOS)，并将于 2026 年 6 月 30 日从 MHS 中移除。请升级到最新可用版本。
• 报告组件将仅在产品级别 (UI/AppScanCMD) 提供，不适用于 SDK 级别。
• SSL 将在未来版本中弃用。
• 由于 Azure OpenAI 将停用这些模型，因此将停止对 GPT-4.x 模型的支持。

HCLAppScan Standard 是 HCL AppScan 应用程序安全测试套件的渗透测试组件，用于测试 Web 应用程序和 API。它具有识别安全漏洞的前沿方法和技术，可帮助保护应用程序免受网络攻击的威胁。

HCLAppScan Standard 是动态分析工具，通过使用类似于黑客使用的方法攻击应用程序，在运行时评估应用程序安全性。测试结果包括从应用程序清单到详细攻击流量的一系列丰富数据，系统可以重现这些数据以进行验证和修复。可以在 UI 中检查和处理这些数据，也可以采用各种格式导出这些数据，以便在其他工具中共享。

除了尖端测试设施外，AppScan 还包括其他功能，可帮助您尽可能高效地运行测试程序。这些功能包括：

• 常规和法规一致性报告，并提供超过 40 个不同的开箱即用模板
• 通过 AppScan eXtension Framework 或通过使用 AppScan SDK 直接集成到现有系统内来实现的定制和可扩展性
• 内置优化机制，可帮助集中测试应用程序最可能发生问题的部分中可能出现的问题

AppScan Standard 可帮助您在站点部署之前并且为生产阶段的进行中风险评估来降低 Web 应用程序攻击和数据违规的风险。

支持的技术

站点使用的某些技术可能会影响 AppScan 扫描站点的能力，但是其他技术完全不会影响扫描。

• AppScan 是一个“黑盒”(DAST) 工具，与浏览器使用相同的机制访问站点。因此，对于浏览器透明的服务器端技术对于 AppScan 也透明，但不会影响扫描。
• 客户机端技术（如 JavaScript 和 HTTP 协议）本身的确会影响 AppScan。为了成功扫描，AppScan 利用嵌入产品的实际浏览器来处理网页，就如同使用在市场上可获得的浏览器一样。这可确保支持所有常用技术。有时可能需要附加配置来帮助 AppScan 理解元素的上下文，从而正确处理简单浏览之外的工作，这通常针对扫描的测试阶段。
• 支持使用 JSON 消息和登录记录扫描 WebSocket 协议。

AppScan 扫描包含两个主要阶段：探索和测试。针对每个阶段，下表提供了理解哪些服务器端和客户机端技术可能会影响扫描的准则以及需要配置的情况。