AppSpider 7.5.020 发布 - Web 应用程序安全测试

AppSpider 7.5.020 for Windows - Web 应用程序安全测试

Rapid7 Dynamic Application Security Testing (DAST) released Sep 2025

请访问原文链接：https://sysin.org/blog/appspider/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

appspider

没有任何应用程序未经测试，没有未知风险

• 保持步伐

  收集测试当今不断发展的应用程序所需的信息。

• 降低风险

  降低每次构建的风险，并在 SDLC 中更早地进行修复。

• 玩得开心

  以正确的方式将正确的洞察力传递给 DevOps。

新增功能

应用程序安全 AppSpider

引擎版本：7.5.021 / 企业版版本：3.8.240

软件发布日期：2025 年 9 月 11 日 | 发布说明发布时间：2025 年 9 月 17 日

改进内容：

• R7 Crawler（爬虫）
  • 添加了一个可选的内部代理，用于改进请求头的处理，并支持请求拦截和 JavaScript 注入。
  • 升级了 Playwright 及其相关的 Chromium 版本。
  • 提高了对不活跃浏览器的清理效率。
  • 新增对以下 Drupal 版本的检测支持：10.5.1、10.5.3、11.2.1、11.2.2、11.2.3 和 11.2.4。
  • 改进了 Accept 请求头的处理方式。
  • 通过设置与用户代理匹配的浏览器安全头 (sysin)，提高了对反爬虫机制的绕过能力。
  • 改善了对含 JavaScript 重定向页面的加载处理。
  • 增强了 JavaScript 宏中提示（prompt）阶段的检测能力。
  • 由于缺乏足够的细粒度，移除了 CPE 数据；并在 analyze.json 中添加了新技术信息。
• 扫描引擎
  • 增加了日志记录功能，用于标示 LLM 攻击扫描中 JavaScript 引擎的配置错误。
  • 改进了盲 NoSQL 注入检测，减少误报。
  • 现在 JSON 注入攻击仅限于内容类型为 JSON 的请求，从而降低误报率。
• AppSpider Pro 用户界面
  • 增强了扫描配置的验证功能，以防止重复命名，并改进了目录冲突处理机制。
  • 改进了扫描数据目录的权限策略和验证。
• AppSpider Enterprise（企业版）
  • 现在支持“Critical（严重）”漏洞等级，与 AppSpider 引擎保持一致。
  • 扫描配置已更新，以匹配新的 AppSpider 引擎版本 7.5.021。
  • 从客户端设置对话框中移除了云引擎配置选项。

修复内容：

• R7 Crawler
  • 修复了验证带有 postData 的登录 URL 时的问题。
  • 不再生成低价值的事件。
  • 现在保留 startedDateTime 字段，以便在流量日志中正确显示时间戳。
• 扫描引擎
  • 修复了一个问题：当聊天机器人（chatbot）的 URL 与种子 URL 匹配时，会阻止 LLM 攻击的问题。
• AppSpider Pro 用户界面
  • 修复了一个问题：某些模块无法在界面中正常加载。

AppSpider Pro 版本 7.5.018（发布于 2025 年 5 月 16 日）

✓ 新的爬取/扫描功能和增强

• R7Crawler：
  • 添加了一个分析选项，用于发现技术及其版本。
  • 更新至版本 1.0.0.335。
  • 增强了 Chromium 扫描功能，可自动分析检测到的技术的种子 URL（可选的 JSON 报告）。
  • 改进了 Chromium 登录宏中指定请求头的处理（适用于除 'accept' 之外的所有登录请求）。
• 攻击增强：
  • 改进了 SSL 强度检查的验证扫描。
• 扫描引擎：
  • 提高了扫描稳定性。
  • 增强了对扫描暂停、恢复和停止命令的响应。
  • 解决了由于引擎死锁导致扫描挂起的问题。
  • 加强了后端验证，以确保与 GUI 一致并防止因扫描配置命名不当而导致的潜在问题。
  • 改进了 ChromeHost 事件目标侦听器 (sysin)，防止脚本注入影响网站代码。
  • 改进了 Selenium 清理操作，减少崩溃风险。
  • 改进了 HAR 文件参数解析。
• 宏处理：
  • ChromeHost 现在支持一次性密码（HOTP/TOTP）用于 Driver Click、On Click 和 JavaScript 宏。
• 密码暴露检查：
  • 现在正确处理不区分大小写和加密字符。
• NodeJS 更新：
  • 包含安全修复。
• 报告配置：
  • 添加了 MaxReportResponseTrafficSize 选项，用于配置 VulnList.Vuln.CrawlTrafficResponse 的最大长度。
• PCI 报告映射：
  • 更新至 PCI 4.0。
• ChromeHost 扫描：
  • 改进了网站正文中 Content-Security-Policy 元标签的处理。
• Selenium ChromeDriver：
  • 升级至版本 136.0.7103.49。

AppSpider 版本 7.5.020

软件发布日期：2025 年 7 月 31 日 | 发布说明发布时间：2025 年 7 月 31 日

改进：

• 漏洞严重性评级：新增 Critical（严重） 等级，用于所有漏洞。此更新提供了更精确的风险衡量方式，使我们的 Command Platform 与行业标准的 CVSS 评分保持一致。这样您可以更有效地对漏洞进行分级和优先处理，优先关注最严重的问题。
  • 重新评估并重新分类了攻击模块和 CVSS 评分 (sysin)，以更好地反映现代威胁技术。
  • 对于单一攻击类型的多个发现，现在会显示最高的严重性等级作为整体漏洞严重性。
  • 自定义攻击模板和手动覆盖中的严重性设置仍然优先生效。

修复：

• R7 Crawler
  • 修复了使用 postData 登录时验证登录 URL 的问题。

下载地址

AppSpider v7.5.x Windows x64

• 请访问：https://sysin.org/blog/appspider/

更多相关产品：

• Magic Quadrant for Application Security Testing 2022
• Magic Quadrant for Application Security Testing 2023

更多：HTTP 协议与安全