webinspect簡介

Web應(yīng)用系統(tǒng)由于其不需要安裝客戶端，webinspect功能介紹，顯示內(nèi)容豐富，開發(fā)快速，可以隨時隨地瀏覽和訪問，能夠滿足企業(yè)應(yīng)用系統(tǒng)客戶端的簡單易用，維護(hù)工作少等需求，逐漸成為企業(yè)IT

應(yīng)用開發(fā)設(shè)計的首xuan。越來越多的傳統(tǒng)業(yè)務(wù)系統(tǒng)轉(zhuǎn)變成Web應(yīng)用。企業(yè)的B2B、B2C業(yè)務(wù)的發(fā)展更多地依靠于Web應(yīng)用的正常運行，依賴于Web應(yīng)用提供更多的在線服務(wù)方式，甚至將傳統(tǒng)的核心應(yīng)用也升級到基于Web方式。

但是我們也應(yīng)該看到，Web應(yīng)用系統(tǒng)的這些特性也為其自身的安全帶來了隱患。傳統(tǒng)的防火墻等安全保護(hù)技術(shù)，雖然能夠隔離主機(jī)，隔離網(wǎng)絡(luò)，使非fa者不能***，但是由于web應(yīng)用將其端口和交互開放給外部，如果應(yīng)用設(shè)計者和開發(fā)者對于安全考慮的不周全，在代碼中沒有對漏洞進(jìn)行有效的處理，那么非fa用戶可以通過被web應(yīng)用視為正常的請求，利用web應(yīng)用的漏洞，***信息，獲得非fa利益，從而給企業(yè)和***終用戶帶來無法估量的損失。

Web應(yīng)用安全測試平臺基于惠普軟件WebInspect構(gòu)建，對如今復(fù)雜的web應(yīng)用進(jìn)行全mian的安全性分析。這款軟件覆蓋廣泛的安全評估內(nèi)容，具有快速掃描功能且能提供準(zhǔn)確的Web應(yīng)用安全掃描結(jié)果，能幫助***安全人員和入門者查找與發(fā)現(xiàn)web 應(yīng)用和服務(wù)中存在的高風(fēng)險安全漏洞。

惠普 webinspect

hp 對誰可以使用 hp WebInspect 以及如何部署都保持著非常嚴(yán)格的限制。這是一件好事，webinspect， 因為在錯誤的手， WebInspect 將是一個非常***的武qi。對于此審查， 我們必須指ding正在掃描的 ip 范圍， 并且許可證不允許我們在該區(qū)域之外 ping 任何內(nèi)容?；萜毡硎荆?購買該計劃的公司將受到同樣的限制， 但通過讓 hp 知道如何擴(kuò)展該程序， 可以在事實發(fā)生后修改許可證。

所有嚴(yán)密的安全性的原因是， WebInspect 在整個網(wǎng)絡(luò)中針對所有已知的漏洞發(fā)起實際攻擊， 超過3300個。hp 的一個團(tuán)隊正在不斷更新程序啟動的攻擊次數(shù)和類型， 以便能夠找到所有***xin的漏洞。盡管這依賴于主動掃描， 但在處理數(shù)量適中的客戶端和設(shè)備時， 它相對較快， 但在大量的企業(yè)設(shè)置中可能需要數(shù)天的時間。

指的是一個***的在線***與800設(shè)備， 惠普為測試設(shè)置了大約一分鐘。我們的更小的本地試驗臺在短短幾秒鐘內(nèi)被掃描。掃描的速度也有點依賴于 WebInspect 安裝在硬件上。我們使用了工作站類計算機(jī)作為我們的基礎(chǔ)， 但大型企業(yè)用戶可能希望有一個服務(wù)器或裝置只是專門用于掃描。

WebInspect 發(fā)射的攻擊是良性的。他們不會做任何惡意的事情。但當(dāng)他們通過時， 他們會記錄在案， 顯示他們可能在某種程度上造成了混亂， 如果他們裝備了***的有效載荷。安全管理員的價值在于， WebInspect 顯示了所使用的攻擊、程序到達(dá)目標(biāo)的路徑以及被利用的漏洞。查看掃描結(jié)果， 您可以很容易地看到為什么該程序可能是***的在錯誤的手， 因為它將提供多個路線圖顯示如何成功地攻擊任何網(wǎng)絡(luò)。

這個想法是， 安全人員可以采取成功的攻擊數(shù)據(jù)， 并前往準(zhǔn)確的系統(tǒng)， 成功地攻擊， 以修復(fù)漏洞。然后， 他們可以觸發(fā) WebInspect 再次啟動他們試圖修復(fù)的特定攻擊， 以確認(rèn)它不再是一個漏洞。因此， 每個攻擊路徑或漏洞將被消除， 直到整個網(wǎng)絡(luò)清除所有漏洞。然后， 該程序?qū)⒍ㄆ趻呙杈W(wǎng)絡(luò)， 以查找基于***xin攻擊的新威脅， 或者當(dāng)新設(shè)備聯(lián)機(jī)時， 使其成為任何自動事件響應(yīng)例程的核心組件。

基礎(chǔ) WebInspect 程序是令人難以置信的強(qiáng)大， 但要獲得該程序的全部價值需要另一個元素， hp WebInspect 代理， 安裝在掃描設(shè)備上。***xin版本的代理程序是免費的 WebInspect 用戶， 但它需要安裝在每個單獨的設(shè)備， 以獲得它所提供的額外的保護(hù)。

代理通過增強(qiáng) WebInspect 攻擊提供的信息來工作。添加到混合中的代理發(fā)現(xiàn)的***da漏洞是跨錯誤， 這可能會使攻擊者將自己的代碼插入到 web 服務(wù)器中。只有在后臺運行的代理程序才能啟動堆棧跟蹤才能找到此漏洞， 因為代理的行為類似于內(nèi)部人員， 顯示了受保護(hù)的主機(jī)系統(tǒng)中正在發(fā)生的事情。使用代理的另一個優(yōu)點是， 像 sql 注入這樣的攻擊可以更好地用路徑信息和特定的攻擊字符串來定義。雖然 WebInspect 可以報告服務(wù)器容易受到這些類型的攻擊，webinspect電話， 但只有通過代理， 才能準(zhǔn)確地發(fā)現(xiàn)數(shù)據(jù)庫攻擊查詢。

代理還可以找到不鏈接任何地方和可能被遺棄或忘記的網(wǎng)頁， 但仍然是企業(yè)的一部分， 并會仍然顯示， 如果有人直接鍵入他們的地址。這些頁面可能是一個漏洞， 只要它們?nèi)匀惶幱诨顒訝顟B(tài)， 但在大多數(shù)大型網(wǎng)站中， 至少有幾個在過去幾年中已經(jīng)超過了內(nèi)容設(shè)計者。因此，webinspect核心代理， 至少應(yīng)該在任何面向公共的設(shè)備上安裝代理， 尤其是那些負(fù)責(zé)顯示 web 內(nèi)容的工具。

盡管 WebInspect 比某些程序需要更多的技術(shù)知識， 但作為自動威脅響應(yīng)系統(tǒng)的一部分發(fā)動實際攻擊的能力是不能被夸大的。需要了解針對他們的攻擊的形式和為什么的***應(yīng)該考慮該程序， 盡管安裝它的額外的努力和它的同伴代理程序。

HP WebInspect的適用范圍：

數(shù)據(jù)注入和操作攻擊

? Reflected XSS

? Persistent XSS

? 跨站請求偽zao

? SQL注入

? SQL盲注

? 緩沖器溢出

? 整數(shù)溢出

? Log注入

? 遠(yuǎn)程文件包含（RFI）注入

? 服務(wù)器端包含（SSI）注入

? 操作系統(tǒng)命令注入

? 本地文件包含（LFI）

會話與驗證

? 會話強(qiáng)度

? 驗證攻擊（Authentication attack）

? 驗證不充分

? 會話有效期短（insufficient session expiration）

服務(wù)器與通用HTTP

? 安***接層（SSL）證書問題

? 支持SSL協(xié)議

? 支持SSL密碼

? 服務(wù)器配置不當(dāng)

? 目錄索引與列舉

? 服務(wù)拒絕

? HTTP響應(yīng)拆分

? Windows

8.3文件名

? DOS驅(qū)動程序安裝處理DoS（DOS device handle DoS）

? 標(biāo)準(zhǔn)化攻擊

? URL改道攻擊

? 密碼自動完成

? Cookie安全

? 自定義模糊

? 路徑操縱 － 穿越

? 路徑截斷（Path truncation）

? Ajax審計

? WebD***審計

? Web服務(wù)審計

? 文件列舉

? 信息***

? 目錄與路徑穿越

? 垃圾郵件網(wǎng)關(guān)檢測

? 強(qiáng)力驗證攻擊

? 已知應(yīng)用與平臺漏洞

webinspect電話-華克斯-webinspect由蘇州華克斯信息科技有限公司提供。蘇州華克斯信息科技有限公司為客戶提供“Loadrunner,Fortify,源代碼審計,源代碼掃描”等業(yè)務(wù)，公司擁有“Loadrunner,Fortify,Webinspect”等品牌，專注于行業(yè)專用軟件等行業(yè)。歡迎來電垂詢，聯(lián)系人：華克斯。