AppSpider 7.5.023 for Windows - Web 应用程序安全测试
Rapid7 Dynamic Application Security Testing (DAST) released December 2025
请访问原文链接:https://sysin.org/blog/appspider/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
appspider
没有任何应用程序未经测试,没有未知风险
保持步伐
收集测试当今不断发展的应用程序所需的信息。
降低风险
降低每次构建的风险,并在 SDLC 中更早地进行修复。
玩得开心
以正确的方式将正确的洞察力传递给 DevOps。
新增功能
应用程序安全 AppSpider
AppSpider 版本 7.5.023
软件发布日期:2025 年 12 月 16 日 |发行说明发布时间:2025 年 12 月 17 日
新功能:
- OWASP Top 10 2025(候选发布版)
- 新攻击模板——任意代码执行
- 远程代码执行模块改进——新增 React2Shell 攻击
改进:
- AppSec 扫描引擎
- 远程代码执行模块改进,现在包含新的
React2Shell攻击。 - 暴力破解表单和SQL 身份验证绕过模块改进:更好地检测身份验证表单以及成功提交的身份验证流程。
- 文件包含模块改进:在检测 package.json 文件时减少漏报。
- GraphQL 查询生成改进:支持具有自定义根类型、复杂嵌套输入参数以及附加标量定义的架构。
- 攻击模块更新——以下模块的 CVSS 分数和严重性已更新 (sysin):
- 响应中的信息泄露(从 信息性 调整为高)
- JavaScript 内存泄漏(从 信息性 调整为低)
- 文件包含(从 中 等 调整为严重)
- 远程代码执行模块改进,现在包含新的
- R7 Crawler
- 统一在使用 Chromium 浏览器时执行 JavaScript 的方式,以提升执行一致性。
- 改进 R7Crawler 为引擎内部 HTTPS 通信生成证书的方式。
- 通过防止重复发现事件被处理,提升爬虫性能。
- 改进 R7Crawler 的宏序列处理 (sysin)。
- 改进对卡住的 Chromium 浏览器的关闭,以释放内存。
- 更新引擎以正确将内容安全策略(CSP)配置传递给 R7Crawler。
- 改进 R7Crawler 的 blur 事件处理,避免某些请求导致浏览器挂起。
- 增加对最新 Drupal 版本的检测。
- 当传递到 analyze 端点的 URL 被阻止时,改进错误消息提示。
- 移除对 Windows
WMIC的依赖,因为微软已在部分 Windows 构建中移除该组件。
修复:
- R7 Crawler
- 修复了对 R7Crawler 响应状态码的处理。
- 修复了一个问题:当注入的请求头值中包含冒号时,在使用 R7Crawler 时该值会被截断。
下载地址
AppSpider v7.5.023.26 Windows x64 - released December 17, 2025
- 请访问:https://sysin.org/blog/appspider/
更多相关产品:
- Magic Quadrant for Application Security Testing 2022
- Magic Quadrant for Application Security Testing 2023
更多:HTTP 协议与安全
)