webinspect电话-华克斯-webinspect

webinspect简介

Web应用系统由于其不需要安装客户端，webinspect功能介绍，显示内容丰富，开发快速，可以随时随地浏览和访问，能够满足企业应用系统客户端的简单易用，维护工作少等需求，逐渐成为企业IT

应用开发设计的首xuan。越来越多的传统业务系统转变成Web应用。企业的B2B、B2C业务的发展更多地依靠于Web应用的正常运行，依赖于Web应用提供更多的在线服务方式，甚至将传统的核心应用也升级到基于Web方式。

但是我们也应该看到，Web应用系统的这些特性也为其自身的安全带来了隐患。传统的防火墙等安全保护技术，虽然能够隔离主机，隔离网络，使非fa者不能***，但是由于web应用将其端口和交互开放给外部，如果应用设计者和开发者对于安全考虑的不周全，在代码中没有对漏洞进行有效的处理，那么非fa用户可以通过被web应用视为正常的请求，利用web应用的漏洞，***信息，获得非fa利益，从而给企业和***终用户带来无法估量的损失。

Web应用安全测试平台基于惠普软件WebInspect构建，对如今复杂的web应用进行全mian的安全性分析。这款软件覆盖广泛的安全评估内容，具有快速扫描功能且能提供准确的Web应用安全扫描结果，能帮助***安全人员和入门者查找与发现web 应用和服务中存在的高风险安全漏洞。

惠普 webinspect

hp 对谁可以使用 hp WebInspect 以及如何部署都保持着非常严格的限制。这是一件好事，webinspect， 因为在错误的手， WebInspect 将是一个非常***的武qi。对于此审查， 我们必须指ding正在扫描的 ip 范围， 并且许可证不允许我们在该区域之外 ping 任何内容。惠普表示， 购买该计划的公司将受到同样的限制， 但通过让 hp 知道如何扩展该程序， 可以在事实发生后修改许可证。

所有严密的安全性的原因是， WebInspect 在整个网络中针对所有已知的漏洞发起实际攻击， 超过3300个。hp 的一个团队正在不断更新程序启动的攻击次数和类型， 以便能够找到所有***xin的漏洞。尽管这依赖于主动扫描， 但在处理数量适中的客户端和设备时， 它相对较快， 但在大量的企业设置中可能需要数天的时间。

指的是一个***的在线***与800设备， 惠普为测试设置了大约一分钟。我们的更小的本地试验台在短短几秒钟内被扫描。扫描的速度也有点依赖于 WebInspect 安装在硬件上。我们使用了工作站类计算机作为我们的基础， 但大型企业用户可能希望有一个服务器或装置只是专门用于扫描。

WebInspect 发射的攻击是良性的。他们不会做任何恶意的事情。但当他们通过时， 他们会记录在案， 显示他们可能在某种程度上造成了混乱， 如果他们装备了***的有效载荷。安全管理员的价值在于， WebInspect 显示了所使用的攻击、程序到达目标的路径以及被利用的漏洞。查看扫描结果， 您可以很容易地看到为什么该程序可能是***的在错误的手， 因为它将提供多个路线图显示如何成功地攻击任何网络。

这个想法是， 安全人员可以采取成功的攻击数据， 并前往准确的系统， 成功地攻击， 以修复漏洞。然后， 他们可以触发 WebInspect 再次启动他们试图修复的特定攻击， 以确认它不再是一个漏洞。因此， 每个攻击路径或漏洞将被消除， 直到整个网络清除所有漏洞。然后， 该程序将定期扫描网络， 以查找基于***xin攻击的新威胁， 或者当新设备联机时， 使其成为任何自动事件响应例程的核心组件。

基础 WebInspect 程序是令人难以置信的强大， 但要获得该程序的全部价值需要另一个元素， hp WebInspect 代理， 安装在扫描设备上。***xin版本的代理程序是免费的 WebInspect 用户， 但它需要安装在每个单独的设备， 以获得它所提供的额外的保护。

代理通过增强 WebInspect 攻击提供的信息来工作。添加到混合中的代理发现的***da漏洞是跨错误， 这可能会使攻击者将自己的代码插入到 web 服务器中。只有在后台运行的代理程序才能启动堆栈跟踪才能找到此漏洞， 因为代理的行为类似于内部人员， 显示了受保护的主机系统中正在发生的事情。使用代理的另一个优点是， 像 sql 注入这样的攻击可以更好地用路径信息和特定的攻击字符串来定义。虽然 WebInspect 可以报告服务器容易受到这些类型的攻击，webinspect电话， 但只有通过代理， 才能准确地发现数据库攻击查询。

代理还可以找到不链接任何地方和可能被遗弃或忘记的网页， 但仍然是企业的一部分， 并会仍然显示， 如果有人直接键入他们的地址。这些页面可能是一个漏洞， 只要它们仍然处于活动状态， 但在大多数大型网站中， 至少有几个在过去几年中已经超过了内容设计者。因此，webinspect核心代理， 至少应该在任何面向公共的设备上安装代理， 尤其是那些负责显示 web 内容的工具。

尽管 WebInspect 比某些程序需要更多的技术知识， 但作为自动威胁响应系统的一部分发动实际攻击的能力是不能被夸大的。需要了解针对他们的攻击的形式和为什么的***应该考虑该程序， 尽管安装它的额外的努力和它的同伴代理程序。

HP WebInspect的适用范围：

数据注入和操作攻击

? Reflected XSS

? Persistent XSS

? 跨站请求伪zao

? SQL注入

? SQL盲注

? 缓冲器溢出

? 整数溢出

? Log注入

? 远程文件包含（RFI）注入

? 服务器端包含（SSI）注入

? 操作系统命令注入

? 本地文件包含（LFI）

会话与验证

? 会话强度

? 验证攻击（Authentication attack）

? 验证不充分

? 会话有效期短（insufficient session expiration）

服务器与通用HTTP

? 安***接层（SSL）证书问题

? 支持SSL协议

? 支持SSL密码

? 服务器配置不当

? 目录索引与列举

? 服务拒绝

? HTTP响应拆分

? Windows

8.3文件名

? DOS驱动程序安装处理DoS（DOS device handle DoS）

? 标准化攻击

? URL改道攻击

? 密码自动完成

? Cookie安全

? 自定义模糊

? 路径操纵 － 穿越

? 路径截断（Path truncation）

? Ajax审计

? WebD***审计

? Web服务审计

? 文件列举

? 信息***

? 目录与路径穿越

? 垃圾邮件网关检测

? 强力验证攻击

? 已知应用与平台漏洞