惠普 webinspect

hp 對(duì)誰(shuí)可以使用 hp WebInspect 以及如何部署都保持著非常嚴(yán)格的限制。這是一件好事， 因?yàn)樵阱e(cuò)誤的手， WebInspect 將是一個(gè)非常危險(xiǎn)的武qi。對(duì)于此審查， 我們必須指ding正在掃描的 ip 范圍， 并且許可證不允許我們?cè)谠搮^(qū)域之外 ping 任何內(nèi)容。惠普表示， 購(gòu)買(mǎi)該計(jì)劃的公司將受到同樣的限制， 但通過(guò)讓 hp 知道如何擴(kuò)展該程序， 可以在事實(shí)發(fā)生后修改許可證。

所有嚴(yán)密的安全性的原因是， WebInspect 在整個(gè)網(wǎng)絡(luò)中針對(duì)所有已知的漏洞發(fā)起實(shí)際攻擊， 超過(guò)3300個(gè)。hp 的一個(gè)團(tuán)隊(duì)正在不斷更新程序啟動(dòng)的攻擊次數(shù)和類(lèi)型， 以便能夠找到所有最xin的漏洞。盡管這依賴(lài)于主動(dòng)掃描， 但在處理數(shù)量適中的客戶(hù)端和設(shè)備時(shí)， 它相對(duì)較快， 但在大量的企業(yè)設(shè)置中可能需要數(shù)天的時(shí)間。

指的是一個(gè)假冒的在線銀行與800設(shè)備， 惠普為測(cè)試設(shè)置了大約一分鐘。我們的更小的本地試驗(yàn)臺(tái)在短短幾秒鐘內(nèi)被掃描。掃描的速度也有點(diǎn)依賴(lài)于 WebInspect 安裝在硬件上。我們使用了工作站類(lèi)計(jì)算機(jī)作為我們的基礎(chǔ)， 但大型企業(yè)用戶(hù)可能希望有一個(gè)服務(wù)器或裝置只是專(zhuān)門(mén)用于掃描。

WebInspect 發(fā)射的攻擊是良性的。他們不會(huì)做任何惡意的事情。但當(dāng)他們通過(guò)時(shí)， 他們會(huì)記錄在案， 顯示他們可能在某種程度上造成了混亂， 如果他們裝備了危險(xiǎn)的有效載荷。安全管理員的價(jià)值在于， WebInspect 顯示了所使用的攻擊、程序到達(dá)目標(biāo)的路徑以及被利用的漏洞。查看掃描結(jié)果， 您可以很容易地看到為什么該程序可能是危險(xiǎn)的在錯(cuò)誤的手， 因?yàn)樗鼘⑻峁┒鄠€(gè)路線圖顯示如何成功地攻擊任何網(wǎng)絡(luò)。

這個(gè)想法是， 安全人員可以采取成功的攻擊數(shù)據(jù)，webinspect， 并前往準(zhǔn)確的系統(tǒng)， 成功地攻擊， 以修復(fù)漏洞。然后， 他們可以觸發(fā) WebInspect 再次啟動(dòng)他們?cè)噲D修復(fù)的特定攻擊， 以確認(rèn)它不再是一個(gè)漏洞。因此， 每個(gè)攻擊路徑或漏洞將被消除， 直到整個(gè)網(wǎng)絡(luò)清除所有漏洞。然后， 該程序?qū)⒍ㄆ趻呙杈W(wǎng)絡(luò)， 以查找基于最xin攻擊的新威脅， 或者當(dāng)新設(shè)備聯(lián)機(jī)時(shí)， 使其成為任何自動(dòng)事件響應(yīng)例程的核心組件。

基礎(chǔ) WebInspect 程序是令人難以置信的強(qiáng)大， 但要獲得該程序的全部?jī)r(jià)值需要另一個(gè)元素， hp WebInspect 代理， 安裝在掃描設(shè)備上。最xin版本的代理程序是免費(fèi)的 WebInspect 用戶(hù)， 但它需要安裝在每個(gè)單獨(dú)的設(shè)備， 以獲得它所提供的額外的保護(hù)。

代理通過(guò)增強(qiáng) WebInspect 攻擊提供的信息來(lái)工作。添加到混合中的代理發(fā)現(xiàn)的最da漏洞是跨錯(cuò)誤， 這可能會(huì)使攻擊者將自己的代碼插入到 web 服務(wù)器中。只有在后臺(tái)運(yùn)行的代理程序才能啟動(dòng)堆棧跟蹤才能找到此漏洞， 因?yàn)榇淼男袨轭?lèi)似于內(nèi)部人員， 顯示了受保護(hù)的主機(jī)系統(tǒng)中正在發(fā)生的事情。使用代理的另一個(gè)優(yōu)點(diǎn)是， 像 sql 注入這樣的攻擊可以更好地用路徑信息和特定的攻擊字符串來(lái)定義。雖然 WebInspect 可以報(bào)告服務(wù)器容易受到這些類(lèi)型的攻擊， 但只有通過(guò)代理， 才能準(zhǔn)確地發(fā)現(xiàn)數(shù)據(jù)庫(kù)攻擊查詢(xún)。

代理還可以找到不鏈接任何地方和可能被遺棄或忘記的網(wǎng)頁(yè)， 但仍然是企業(yè)的一部分， 并會(huì)仍然顯示， 如果有人直接鍵入他們的地址。這些頁(yè)面可能是一個(gè)漏洞， 只要它們?nèi)匀惶幱诨顒?dòng)狀態(tài)， 但在大多數(shù)大型網(wǎng)站中， 至少有幾個(gè)在過(guò)去幾年中已經(jīng)超過(guò)了內(nèi)容設(shè)計(jì)者。因此， 至少應(yīng)該在任何面向公共的設(shè)備上安裝代理， 尤其是那些負(fù)責(zé)顯示 web 內(nèi)容的工具。

盡管 WebInspect 比某些程序需要更多的技術(shù)知識(shí)， 但作為自動(dòng)威脅響應(yīng)系統(tǒng)的一部分發(fā)動(dòng)實(shí)際攻擊的能力是不能被夸大的。需要了解針對(duì)他們的攻擊的形式和為什么的組織應(yīng)該考慮該程序，webinspect功能介紹， 盡管安裝它的額外的努力和它的同伴代理程序。

企業(yè)安全評(píng)估

HPWebInspect可以和HP?Assessment Management Platform軟件集成，webinspect電話，能對(duì)整個(gè)企業(yè)進(jìn)行分散式評(píng)估。HP

Assessment Management Platform具有可擴(kuò)展特性，能對(duì)用戶(hù)權(quán)限、安全策略和遠(yuǎn)程掃描管理實(shí)施集中控制，可全mian了解整個(gè)組織的應(yīng)用安全狀態(tài)。此外，HP

WebInspect還能將漏洞直接提交給HP Quality Center軟件，為開(kāi)發(fā)和質(zhì)量保證（QA）團(tuán)隊(duì)查找、管理和修復(fù)安全缺陷以及其它應(yīng)用缺陷提供幫助。

WebInspect 學(xué)習(xí)，webinspect在線咨詢(xún)， 因?yàn)樗詣?dòng)化的 web 應(yīng)用程序安全評(píng)估

SecureState 應(yīng)用程序安全架構(gòu)師 Petteys 說(shuō): '我們與開(kāi)發(fā)人員在 qa 過(guò)程后進(jìn)行安全審查， 并在生產(chǎn)之前找到錯(cuò)誤。

Petteys 說(shuō)， 大多數(shù)編碼安全問(wèn)題的發(fā)生是因?yàn)槿狈?duì) web 開(kāi)發(fā)的經(jīng)驗(yàn)， 或者只是簡(jiǎn)單的疏忽。盡管開(kāi)發(fā)人員可能了解這些工具以及如何對(duì)應(yīng)用程序進(jìn)行編碼， 但 Petteys 說(shuō)， 他們可能不熟悉關(guān)鍵的安全風(fēng)險(xiǎn)。

'開(kāi)發(fā)者會(huì)把安全性放在應(yīng)用程序的前端，' Petteys 說(shuō)， '但他們有時(shí)會(huì)在隨后的頁(yè)面上忘記它。

缺少訪問(wèn)控制是 Petteys 發(fā)現(xiàn)的最常見(jiàn)錯(cuò)誤之一。他說(shuō)， 他遇到的其他常見(jiàn)問(wèn)題是缺乏數(shù)據(jù)驗(yàn)證和錯(cuò)誤處理的缺失或缺陷。向用戶(hù)顯示的錯(cuò)誤消息通常包含黑ke可能利用來(lái)發(fā)起攻擊的敏感信息。Petteys 說(shuō)， 這些錯(cuò)誤應(yīng)該被bu獲和記錄， user-friendly 消息不應(yīng)該透露更多的信息比用戶(hù)的需求。

Petteys 說(shuō): '我們實(shí)際上看到了一個(gè)數(shù)據(jù)庫(kù)被傳播和顯示給用戶(hù)的錯(cuò)誤， 提供了可能導(dǎo)致訪問(wèn)更多數(shù)據(jù)的信息。

Stasiak 說(shuō)， 不為用戶(hù)捕獲和篩選的錯(cuò)誤消息可以顯示網(wǎng)站的布局方式， 從而允許不道德的用戶(hù)訪問(wèn)不同的位置和文件。

根據(jù) Stasiak 和 Petteys， WebInspect 揭示了審計(jì)師可以用來(lái)測(cè)試哪些弱點(diǎn)可以被利用的細(xì)節(jié)。例如， WebInspect 將對(duì)該站點(diǎn)進(jìn)行查詢(xún)， 并顯示在客戶(hù)端和服務(wù)器之間交換的數(shù)據(jù)， 包括用戶(hù)帳號(hào)。

Stasiak 說(shuō)， 通過(guò) WebInspect 提供的信息， 他的團(tuán)隊(duì)可以更改參數(shù)并重新提交查詢(xún)， 以查看這些常見(jiàn)的黑ke技巧是否會(huì)讓他們?cè)L問(wèn)其他用戶(hù)的數(shù)據(jù)。

一個(gè)無(wú)價(jià)的工具由于它自動(dòng)化了許多審計(jì)任務(wù)， WebInspect 可以大大加快進(jìn)行安全評(píng)估的過(guò)程。Stasiak 說(shuō)， 克利夫蘭地區(qū)的大部分金融機(jī)構(gòu)都將他們的網(wǎng)絡(luò)應(yīng)用安全外包給了 SecureState， 它通常每月進(jìn)行大約三或四次評(píng)論。他補(bǔ)充說(shuō)， 執(zhí)行一個(gè)典型的 web 應(yīng)用程序?qū)彶樾枰粌芍艿臅r(shí)間。

Stasiak 說(shuō)， SecureState 已經(jīng)評(píng)估了許多安全審計(jì)工具多年來(lái)， 并發(fā)現(xiàn)自動(dòng)化和可的 WebInspect 已使它 SecureState 的工具的選擇評(píng)估 web 應(yīng)用程序的安全性。

對(duì)于有興趣部署 WebInspect 的組織， 您可以下載免費(fèi)試用版。您還可以通過(guò)下載此 pdf 小冊(cè)子來(lái)進(jìn)一步查看該產(chǎn)品。

蘇州華克斯信息科技有限公司是一家從事高新軟件技術(shù)公司，公司業(yè)務(wù)范圍包括：1、提供網(wǎng)絡(luò)安全,終端安全(EDR)CarbonBlack,APT入侵檢測(cè)FireEye等整體解決方案及服務(wù)和實(shí)施.2、提供國(guó)內(nèi)外軟件自動(dòng)化測(cè)試工具產(chǎn)品，如性能測(cè)試Loadrunner、功能測(cè)試UFT（QTP）、安全測(cè)試Fortify/Webinspect/Checkmarx等.3、提供國(guó)內(nèi)外先進(jìn)的EDR產(chǎn)品，如CarbonBlack、LookingGlass等.4、提供軟件自動(dòng)化測(cè)試培訓(xùn)服務(wù)5、提供國(guó)內(nèi)外先進(jìn)的軟硬件及集成服務(wù)。公司現(xiàn)有以博士、碩士為骨干，并擁有多年軟件測(cè)試開(kāi)發(fā)專(zhuān)業(yè)背景和豐富項(xiàng)目經(jīng)驗(yàn)的技術(shù)隊(duì)伍，還聘請(qǐng)教授和專(zhuān)家為顧問(wèn)，向廣大客戶(hù)提供最1佳的解決方案和高質(zhì)量的技術(shù)服務(wù)。公司一貫堅(jiān)持為客戶(hù)提供“新技術(shù)和高質(zhì)量服務(wù)”的宗旨，已為中國(guó)的企業(yè)、研究機(jī)構(gòu)和大學(xué)引進(jìn)集成了大量軟硬件產(chǎn)品，并提供了滿(mǎn)意的服務(wù)，贏得了廣泛的好評(píng)和良好的信譽(yù)。迄今，公司的業(yè)務(wù)已遍及電信、金融、教育、汽車(chē)、科研院所、電力、等行業(yè)。公司矢志于成為企業(yè)在產(chǎn)品研發(fā)過(guò)程中為之提供先進(jìn)的軟硬件產(chǎn)品和高附加值的工程咨詢(xún)服務(wù)的戰(zhàn)略合作伙伴和供應(yīng)商。公司致力于向企業(yè)客戶(hù)提供一站式企業(yè)級(jí)軟件采購(gòu)、企業(yè)信息化基礎(chǔ)架構(gòu)、信息安全、信息技術(shù)等解決方案。在此基礎(chǔ)上，華克斯信息科技還向客戶(hù)提供專(zhuān)業(yè)可靠的規(guī)劃設(shè)計(jì)、實(shí)施部署、運(yùn)行維護(hù)、升級(jí)遷移等信息技術(shù)服務(wù)。幫助客戶(hù)建立和優(yōu)化信息系統(tǒng)、保證其可靠持續(xù)運(yùn)行并提高企業(yè)員工的工作效率，從而提升信息系統(tǒng)的價(jià)值，進(jìn)而為客戶(hù)節(jié)省人力、時(shí)間和財(cái)務(wù)成本、提升質(zhì)量并促進(jìn)創(chuàng)新，以快速獲得市場(chǎng)競(jìng)爭(zhēng)優(yōu)勢(shì)，是華克斯信息科技的一貫宗旨。華克斯信息科技目前已與眾多的國(guó)內(nèi)外知名軟件廠商實(shí)現(xiàn)了各方位的緊密合作，擁有豐富的軟件產(chǎn)品線和解決方案，目前已成為國(guó)內(nèi)領(lǐng)1先的軟件解決方案、服務(wù)和培訓(xùn)的供應(yīng)商，同時(shí)也是全球知名的軟件廠商如HP在國(guó)內(nèi)最1大的合作伙伴之一。華克斯信息科技秉承“以客戶(hù)為中心”的經(jīng)營(yíng)理念，在不斷豐富產(chǎn)品線和提高服務(wù)能力的同時(shí)，一直積極進(jìn)行區(qū)域拓展，以便為客戶(hù)提供更好的本地服務(wù)。