产品详情

返回上一级
WebInspect Web应用安全测试工具
点击数:3533 推荐等级:★★★★★  发布时间:2014-12-8

HP WebInspect 是业界领先的 Web 应用安全评估解决方案,旨在彻底分析当前复杂的Web应用和Web服务的安全漏洞问题。该解决方案具有广泛的技术覆盖率、快速的扫描功能、广博的漏洞专业知识以及准确的Web 应用扫描结果。HP WebInspect 可以对许多复杂的基于新兴的 Web 2.0 技术的 Web 应用程序执行 Web 应用程序安全测试和评估。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的 Web 应用程序安全扫描结果。它可以识别很多传统扫描程序检测不到的安全漏洞WebInspect是最准确和全面的自动化的Web应用程序和Web服务漏洞评估解决方案。使用WebInspect,安全专业人员和规范审计人员可以在自己的环境中快速而轻松地分析众多的Web应用和Web服务。这些解决方案专门为评估潜在的安全漏洞而设计,并提供所有修复这些漏洞所需要的资讯。

 

  产品简介

HP WebInspect 是一款可配置的自动化 Web 应用安全和渗透测试工具。它可模拟实际的黑客入侵技术和攻击,全面透彻地分析错综复杂的 Web 应用和安全漏洞服务。 WebInspect 支持从开发到上线的整个过程中对 Web 应用进行测试,高效管理测试结果,从而确保大部分易受攻击的输入点免遭攻击。

同时HP WebInspect Enterprise 也是一个 Web 应用管理平台,可以针对数千个分布式的 Web 应用执行并管理安全评估。 它主要监控通常向外界公开的入口点,确定 Web 风险管理工作的优先顺序,并从容应对可能涌现的攻击点。 使用该平台,可以深入查看在上线前后所做的保证工作,并使用基于角色的扫描和报告功能来严格控制安全计划。 它使 IT 部门能够有力地证明,自身有能力确保遵循法规和内部安全策略。

 

  主要功能及创新点

1   主要功能介绍

Ø  从开发到上线全面提供 Web 应用安全测试

Ø  自动执行 Web 应用程序安全测试和评估

Ø  帮助您轻松管理、查看并共享安全测试结果和历史记录

Ø  通过最先进的用户界面轻松运行交互式扫描

Ø  利用高级工具执行渗透测试

 

Ø  通过配置以支持任何 Web 应用程序环境

 

2   创新功能与特点

Ø  创新的评估技术

利用创新的评估技术,例如同步扫描和审核 (simultaneous crawl and audit, SCA) 及并发应用程序扫描,您可以快速而准确地自动执行 Web 应用程序安全测试 Web 服务安全测试。WebInspect带来了最新的评估技术,能够适应任何企业环境的Web应用安全产品。当您开始进行漏洞评估时,WebInspect评估代理assessment agent)能够对Web应用的所有区域进行分析。当这些代理(agent)完成评估后,所有的发现结果都自动汇总给一个核心的安全引擎,进行结果分析。之后,WebInspect启动审计引擎,评估所收集的信息,并运用攻击算法查找漏洞,并确定其严重程度。通过上述的途径,WebInspect能够持续地使用适当的评估资源,以适应您的具体应用环境。

l  高级客户端脚本编写技术可分析 JavaScriptFlash 等内容

l  支持同时探测和审核以及并发扫描,从而加快扫描速度并获得更准确的结果

l  高级宏记录技术和灵活的身份验证处理可提升复杂应用的会话管理

l  采用旨在模拟黑客攻击方法的智能引擎,显著提高检测的准确度

l  创新的应用架构探查器有助于调整扫描配置,并针对站点覆盖率和准确性提出改进建议

l  基于列表的评估可高效地进行极具针对性的应用扫描

l  Web 框架的指纹识别采用智能扫描技术,可以减少不必要的攻击

 

Ø  创新的检测技术

利用创新的检测技术提高检测效率,扩大覆盖率,并提供更详细的检测结果和细节

l  具有集成的动态实时分析功能,可发现更多漏洞,并以更快的速度进行修复

l  可与 HP Fortify SecurityScope 共同运行,在动态扫描期间检测代码级攻击

l  可识别和探测更多应用,进一步扩大攻击面的覆盖率,并检测新型漏洞

l  为已确认的漏洞提供堆栈跟踪和代码行的详细信息

 

Ø  创新的交互管理

交互式的管理有利于对于检测结果进行分类,提高管理和修补漏洞的效率

l  简化漏洞检查过程,支持用户与测试结果进行交互

l  拥有灵活的漏洞结果视图,可对结果进行分组 和筛选

l  可显示详细步骤,以重现漏洞并显示其识别过程

l  通过重新执行一系列步骤,对单个漏洞进行重新测试,以便验证或回归测试修补程序

l  输入手动发现的结果,并将屏幕截图和文档附加到测试结果,以获取更多上下文,并更好地进行沟通

l  重新测试漏洞功能可以对以前发现的漏洞进行重新测试,并让您充满信心地确保这些漏洞已得到准确修复,因而能够明显缩短补救验证时间

l  保留各次扫描的测试结果

  产品特点

WebInspect 扫描仪表板

仪表板支持您实时查看并交互操作测试结果

WebInspect 扫描数据库

支持您轻松管理、查看和共享安全测试结果及历史记录

WebInspect 趋势报告

查看并分析一段时间的漏洞趋势,跟踪应用安全进度和效率

 

  HP WebInspect渗透测试与高级工具

Ø  Webinspect渗透测试可以检查到的漏洞种类较多,部分常见漏洞例举如下:


l  反射跨站脚本攻击 (XSS)          l  基于 DOM  XSS

l  持续性 XSS                      l  跨站点伪造请求

l  SQL 注入                        l  隐蔽式 SQL 注入

l  缓冲溢出                        l  整数溢出

l  远程文件包含漏洞 (RFI) 注入     l  服务器端包含漏洞 (SSI) 注入

l  操作系统命令注入                l  本地文件包含漏洞 (LFI)

l  参数重定向                      l  重定向链审核

l  会话和身份验证                  l  会话强度

l  身份验证攻击                    l  身份验证不足

l  会话固定攻击                    l  服务器和常规 HTTP

l  HTML5 分析                      l  Ajax 审核

l  Flash 分析                      l  HTTP 标题审核

l  客户端技术检测                  l  安全套接字层 (SSL) 证书问题

l  支持的 SSL 协议                 l  支持的 SSL 密码


l  服务器配置错误                  l  目录索引编制和枚举

l  拒绝服务                        l  HTTP 响应拆分

l  Windows® 8.3 文件名             l  DOS 设备句柄 DoS

l  标准化攻击                      l  URL 重定向攻击

l  密码自动完成                    l  Cookie 安全

l  自定义模糊测试                  l  路径操作 — 遍历

l  路径截断                        l  WebDAV 审核

l  Web 服务审核                    l  文件枚举

l  RESTful 服务审核                l  信息泄露

l  目录和路径遍历                  l  垃圾邮件网关检测

l  Brute 强制身份验证攻击          l  已知应用和平台漏洞


 

Ø  WebInspect高级工具可以进行以下操作:

l  报告设计器:支持您创建新报告或自定义惠普提供的报告、结合外部数据源、编辑样式并创建自定义的用户输入

l  SQL 注入程序:通过使用 SQL 注入漏洞提取整个数据库

l  Cookie Cruncher:分析 cookie 的强度,避免出现会话劫


l  编码器转换不同的加密标准和编码标准

l  HTTP 编辑器创建和编辑原始的 HTTP 请求

l  Regex 编辑器测试和构建正则表达式

l  Web 服务测试设计器生成和编辑原始 Web 服务请求

l  Web Fuzzer通过使用 HTTP 模糊测试或修改输入变量,确认缓冲溢出

l  Web 代理览站点时查看每个请求和服务器响应

l  Web Brute测试登录表单的强度或 Web 和代理身份验证系统

l  Web 发现识别和发现哪些 Web 服务器和 Web 应用位于哪些端口之后

l  服务器分析器识别 Web 服务器或设备,并执行深入的 SSL 分析

l  流量监控器监控探测和审核期间发送的每项 HTTP 请求和响应

 

上一条:没有了 下一条:没有了