最近AppSpider迎来了一个不小的更新,此次更新中比较重要的就是关于引擎本身支持X64处理器,这代表这扫描器本身的性能将会有更大的发挥空间。
新增功能
基于现有模块的更多Attack方法:我们在以下攻击模块中添加了新的攻击,以提高攻击范围:
DOM中的XSS
未经验证的重定向
AppSpider扫描引擎现在使用x64处理器体系架构。
现在的AppSpider安装程序可以使用配置文件中的安装配置参数,而不只是在命令行下。
向AppSpider引擎添加了通过REST API下载Swagger的功能。
我们添加了对Selenium .side文件格式的支持。
功能改善
我们更新了登录宏文件的播放算法,以修复某些在网站情况下可能发生的回放失败。
我们更新了FrontPage服务器扩展漏洞测试。
我们将自带安装的Selenium ChromeDriver升级到版本87.0.4280.20。
现在我们支持JavaScript宏事件的错误记录。
我们改进了暴力表单身份验证攻击模块的算法,以解决部分结果的误报。
我们更新了会话强度攻击模块的分析算法。
我们在REST API的身份验证方法中添加了令牌提取和注入功能。
我们扩展了服务器端请求伪造(SSRF)攻击模块,以包括Azure云。
功能修复
更新了以下攻击模块,以解决包含有误报的情况:
NoSQLi注入
盲SQL注入
文件包含
SSRF
我们修复了导致登录宏文件使用JavaScript时无法执行的问题。
我们放宽了Session Loss Header Regex的条件,以防止不必要的触发。
我们修复了由网络错误引起的扫描崩溃情况。
我们修复了登录流量回放期间的登录失败问题。
我们修复了可能导致扫描引擎在卸载时崩溃的情况。
我们修复了暴力表单身份验证攻击模块导致的过多内存使用问题。
我们修复了Web服务WSDL解析错误问题。
我们修复了阻止在扫描结束时将最后一条消息添加到操作和用户日志的问题。
我们修复了由于包含截断的JavaScript代码而导致的登录宏播放失败的问题。
