{AppScan}黑盒扫描工具
AppScan® 是一个适合safety engineering的 Web 应用程序和 Web 服务渗透测试解决方案。
关键功能:
· 对现代 Web 应用程序和服务执行自动化的动态应用程序安全测试 (DAST) 和交互式应用程序安全测试 (IAST)。
· 支持 Web 2.0、JavaScript 和 AJAX 框架的all round JavaScript 执行引擎。
· 涵盖 XML 和 JSON 基础架构的REST Web 和 SOAP 服务测试支持 WS-Security 标准、XML 加密和 XML 签名。
· 详细的漏洞公告和修复建议。
· 40 多种合规性报告,包括支付卡行业数据安全标准 (PCI DSS)、支付应用程序数据安全标准 (PA-DSS)、ISO 27001 和 ISO 27002,以及 Basel II。
.提供的自定义功能和可扩展性。
渗透测试应用安全expert团队以模拟恶意hacker的攻击方法,在不影响业务系统正常运行的情况下在渐进逐步的找到系统弱点、技术缺陷或安全漏洞等,进而协助客户解决系统存在的一系列安全问题,提高系统的防御能力,并出具渗透测试报告。
应用类型支持:Web应用、移动APP应用、Web Service、Rest API等。
审计类型支持:路径遍历、可预测资源位置、认证不充分、蛮力、邮件命令注入、目录索引、内容电子欺骗、会话预测、权限不足、远程文件包含、HTTP请求分割/响应分割、拒绝服务等900+类型。
渗透测试工具支持:Appscan、Webinspect。
Fortify SCA 相关工具更新
以下功能已添加到 Fortify 静态代码分析器工具中.
Fortify Analysis Plugin for IntelliJ and Android Studio
IntelliJ IDEA 和 Android Studio 的Fortify Analysis 插件现在支持:
· IntelliJ 2022.2
· Android Studio 2021.3
Eclipse 支持
Fortify Eclipse Complete 插件现在支持 Eclipse 2022-06和 2022-09。
更新 CWETop 2022 Report
更新后,纳入了Fortify软件安全内容2022更新3的内容。
自定义规则编辑器更新
包括以下通用模板和特定于类别的模板,用于生成自定义配置、正则表达式和基础结构即代码 (IaC) 规则:
· Configuration Rule for PropertyMatch
· Configuration Rule for XPathMatch
· Docker Bad Practices: Untrusted Base Image in Use
· Credential Management: Hardcoded API Credential
· Regex Rule for ContentRegex
· Regex Rule for FileNameRegex
· Regex Rule for FileNameRegex and ContentRegex
· Structural Rule for Cloud Configuration in Nested Objects
· Structural Rule for Cloud Configuration in Single Object
· Structural Rule for Terraform Configuration in Nested Blocks
· Structural Rule for Terraform Configuration in Single Block
· Terraform Bad Practices: Untrusted Module in Use
语言支持更新:
· Apex
· Go
· HCL
· JavaScript/TypeScript
· JSON
· Kotlin
· PHP
· Python
· YAML
其他配置文件类型支持:
· configuration
· docker
· xml