漏扫工具 AppScan 最新版本 AppScan Standard 10.10.0

新增功能

HCL AppScan Standard 10.10.0 中的新增功能：

2025 年 11 月

DAST LLM 扫描程序：在攻击者利用 LLM 的弱点之前，先将其暴露出来！使用 AppScan 动态应用程序安全性 (DAST) 保护您的大语言模型 (LLM)，该工具专门设计用于识别关键漏洞，如敏感信息泄露、提示注入、错误信息等。
定制脚本：编辑器增强功能包括改进的自动完成功能 (sysin)。这些增强功能提供了额外的 JavaScript 方法和类型，以及更多的激活触发器，例如开始一个新单词或输入句点（“.”）。
多步骤增强功能：用户界面经过了重新设计，以提供更出色的用户体验。新增了故障诊断选项，可查看回放的请求（原始数据和浏览器）并比较录制的请求与回放的请求，这些选项仅在序列验证后可用。
合规性报告
- 新增报告：
  - 2025 年 LLM 应用 OWASP 前 10 大漏洞
  - [加拿大] – ITSG-33 行业标准报告
- 更新报告：
  - 国际标准 – ISO 27001:2022
  - 国际标准 – ISO 27002:2022
  - 支付卡行业数据安全标准 (PCI DSS) – V4.0.1
  - NIST 特刊 800-53 – 5.2.0
  - [EU] Regulation 2016/679 Of The European Parliament And Of The Council (GDPR)
  - [US] Healthcare Services (HIPAA)
- 合规性报告现在包括修复建议详细信息。
屏蔽改进：增强了 AppScan 的屏蔽功能，可更一致地保护敏感信息。
自动登录改进：AppScan 现在可以更可靠地遍历 Angular 应用程序 (sysin)，修复罕见的登录录制错误，并在播放失败后的第二次尝试操作之间增加延迟，从而提高总体成功率。
改进了对使用 AngularJS 框架的单页应用程序 (SPA) 扫描的支持。

修复和安全更新：

此发行版中的新安全规则包括：

COOP – Cross-Origin-Opener-Policy (COOP) 标头缺失或不安全
CORP – Cross-Origin-Resource-Policy (CORP) 标头缺失或不安全
COEP – Cross-Origin-Embedder-Policy (COEP) 标头缺失或不安全
attCSPAPI – CSP（适用于 API 端点）中的“frame-ancestors”指令标头缺失或不安全
attApacheOFBizRCECVE202445195 – Apache OFBiz RCE for CVE-2024-45195
attApacheOFBizRCECVE202445507 – Apache OFBiz RCE for CVE-2024-45507
attSpringFrameworkPathTraversalCVE202438816 – Spring Framework 路径遍历 CVE-2024-38816 和 CVE-2024-38819
attWordpressPiePluginAuthenticationBypassCVE202534077 – WordPress Pie Register 身份验证不充分 CVE-2025-34077
attWordPressKubioPathTraversalCVE20252294 – WordPress Kubio AI Page Builder 插件路径遍历 CVE-2025-2294
易受攻击的组件数据库已更新到版本 1.8

已在此发行版中更改：

AI 配置已从“测试选项”移至“工具”>“选项”>“AI 设置”。
为了提高安全性，将移除以下配置：
- 高级扫描配置
  - 审查日志
  - 审查报告
  - 加密敏感数据
- 工具选项
  - EncryptPdfReportData
使用外部浏览器录制登录和多步骤操作现在支持基于操作的录制。
AppScan Connect：现在，ASoC 用户可以将问题与扫描文件一起发布到 ASoC，这有助于重新扫描而不是创建新扫描，从而节省时间和资源 (sysin)。
URL 限制从 1024 个字符更改为 4096 个字符。
Web API 向导 (OpenAPI) 扩展已移除。
AppScan Standard V10.6.0 和更低版本将在 2025 年 6 月 30 日终止支持 (EOS)。这些版本的文档不再在公共文档网站上提供。
对 Microsoft® Windows® 10 的支持已终止。
Windows 2025 支持