HCLAppScan Standard 是 HCL AppScan 应用程序安全测试套件的渗透测试组件，用于测试 Web 应用程序和 API。它具有识别安全漏洞的前沿方法和技术，可帮助保护应用程序免受网络攻击的威胁。

HCLAppScan Standard 是动态分析工具，通过使用类似于黑客使用的方法攻击应用程序，在运行时评估应用程序安全性。测试结果包括从应用程序清单到详细攻击流量的一系列丰富数据，系统可以重现这些数据以进行验证和修复。可以在 UI 中检查和处理这些数据，也可以采用各种格式导出这些数据，以便在其他工具中共享。

除了尖端测试设施外，AppScan 还包括其他功能，可帮助您尽可能高效地运行测试程序。这些功能包括：

• 常规和法规一致性报告，并提供超过 40 个不同的开箱即用模板
• 通过 AppScan eXtension Framework 或通过使用 AppScan SDK 直接集成到现有系统内来实现的定制和可扩展性
• 内置优化机制，可帮助集中测试应用程序最可能发生问题的部分中可能出现的问题

AppScan Standard 可帮助您在站点部署之前并且为生产阶段的进行中风险评估来降低 Web 应用程序攻击和数据违规的风险。

支持的技术

站点使用的某些技术可能会影响 AppScan 扫描站点的能力，但是其他技术完全不会影响扫描。

• AppScan 是一个“黑盒”(DAST) 工具，与浏览器使用相同的机制访问站点。因此，对于浏览器透明的服务器端技术对于 AppScan 也透明，但不会影响扫描。
• 客户机端技术（如 JavaScript 和 HTTP 协议）本身的确会影响 AppScan。为了成功扫描，AppScan 利用嵌入产品的实际浏览器来处理网页，就如同使用在市场上可获得的浏览器一样。这可确保支持所有常用技术。有时可能需要附加配置来帮助 AppScan 理解元素的上下文，从而正确处理简单浏览之外的工作，这通常针对扫描的测试阶段。
• 支持 WebSocket 登录记录和登录回放。

AppScan 扫描包含两个主要阶段：探索和测试。针对每个阶段，下表提供了理解哪些服务器端和客户机端技术可能会影响扫描的准则以及需要配置的情况。

	服务器端技术	客户机端技术
探索阶段	任何不影响客户机的服务器端技术（如使用的特定数据库）不会以任何方式影响扫描。 只要 AppScan 配置正确，很多影响客户机的机制（如会话管理）都不会限制扫描。例如，Web 服务器和应用程序服务器影响管理会话标识的方式，AppScan 必须能够跟踪这些标识。很多常见会话标识已预定义或可以由 AppScan 自动检测，不需要其他配置。但是，某些定制机制可能仍需要其他配置。 AppScan 特别支持 WebSphere Portal 定制 URL。WSP 对 URL 的编码方式使其在显示时很难跟踪。AppScan 会解码这些 URL，以理解这些 URL 并对其进行调优。	AppScan 使用完全嵌入式浏览器，它自动支持所有主要技术 (HTML5)，包括许多常用的 JavaScript 框架，例如 Angular、React 和 JQuery。 如果自动探索阶段因特定技术而丢失页面，或由于实现阻挡自动探索而丢失页面，可以在自动探索之后，测试阶段之前，通过手动探索将这些页面添加到扫描。
测试阶段	AppScan 旨在测试应用程序而不是其支持技术，因此它们不会影响测试。再次考虑数据库：AppScan 的 SQL 注入测试套件与所用的数据库无关。它还可以为第三方测试（常见漏洞测试）提供特定测试。	客户机端 JavaScript 漏洞使用嵌入式浏览器进行测试。同样使用 Black-Box (DAST) 方法实施测试。对浏览器环境进行控制，并按原样执行 JavaScript 以显示漏洞。AppScan 支持现代浏览器所支持的所有执行方法。

系统需求

运行 的机器AppScan Standard所需的最低硬件和软件的摘要。

用户权限

• 正在安装：安装 AppScan Standard 需要管理员权限。
• 使用：使用 AppScan Standard，一般用户权限就已足够。

安装 AppScan Standard 需要管理员权限，但是配置或运行扫描不需要特殊权限。

硬件需求

硬件	最低需求
处理器	2 GHz，2 核（或等效）
内存	最低 4 GB RAM；推荐 8 GB
硬盘	5 GB 可用空间
网络	1 NIC 100 Mbps（针对具有已配置 TCP/IP 的网络通信）
显示	建议 1920 x 1080

操作系统和软件需求

软件	详细信息
操作系统	支持的操作系统（ 仅 64 位版本）：Microsoft® Windows® Server 2022：Standard 和 DatacenterMicrosoft® Windows® Server 2019：Essentials、Standard 和 DatacenterMicrosoft® Windows® Server 2016：Standard 和 DatacenterMicrosoft® Windows® 11：Pro 和 EnterpriseMicrosoft® Windows® 10：Pro 和 Enterprise注： 通常不支持任何生命周期已结束 (EOL) 的操作系统。
显示设置	屏幕分辨率：建议 1920 x 1080缩放：最高支持 150%。设置更高的显示比例可能导致失真
许可证	如果用户使用本地许可证服务器，则需要通过网络连接到许可证服务器。如果用户连接到 HCL Cloud License Server，则需要因特网连接。在这两种情况下，都必须在 Windows 代理和任何防火墙中启用许可证域和端口。
其他	Microsoft® .NET Desktop Runtime 8.0.7 或更高版本（仅包括 8.x.x 等次要更新）。Microsoft® Edge WebView2 运行时。Optional: Microsoft® 用于定制报告模板的 Word 2013、Word 2016。
外部客户机	可选：为了使用外部客户机手动探索 Web API，批准了以下客户机版本：Postman（所有当前版本）SoapUI 5.6.x

下载地址

网盘链接：https://pan.quark.cn/s/3881dcfe0b60

文章用于推荐和分享优秀的软件产品及其相关技术，所有软件默认提供官方原版（免费版或试用版），免费分享。对于部分产品笔者加入了自己的理解和分析，方便学习和研究使用。任何内容若侵犯了您的版权，请联系作者删除。如果您喜欢这篇文章或者觉得它对您有所帮助，或者发现有不当之处，欢迎您登录发表评论，也欢迎您分享这个网站，或者支持一下作者，谢谢！

免责声明
   本工具及文章技巧仅面向合法授权的企业安全建设行为，如您需要测试本工具的可用性，请自行搭建靶机环境。为避免被恶意使用，本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。
    在使用本工具进行检测时，您应确保该行为符合当地的法律法规，并且已经取得了足够的授权。请勿对非授权目标进行扫描。如您在使用本工具的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具来源于网络，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！
    在安装并使用本工具前，请您务必审慎阅读、充分理解各条款内容，限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。除非您已充分阅读、完全理解并接受本协议所有条款，否则，请您不要安装并使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的，即视为您已阅读并同意本协议的约束。