webinspect功能介绍-华克斯-webinspect

针对 hpe webinspect 强化您的 sharepoint 2016 的指南

我已经在 microsoft sharepoint server 2013 中撰写了许多关于安全主题的文章， 在这段时间里， 我与***机构合作， 分享了我的经验和教训， 我的职责是确保他们的 sharepoint 2013 农场尽可能的安全和稳定。这样的任务听起来很有挑战性， 因为 sharepoint 是一个包含多个不同组件的平台， 您不能仅仅分解它来实现某些内容。我的角色的一部分， 我要确保如果某项被标记， 则一旦自定义应用程序被批准部署到生产环境中，webinspect在线咨询， 就必须补救。

我的一个客户热衷于 hpe WebInspect。他们选择它作为主要的 web 应用程序漏洞评估工具，webinspect技术支持， 将其 sharepoint 部署到大约2万员工。由于使用了该工具， 我在报告中遇到了挑战， 每次在生产展开前需要扫描自定义应用程序时都会生成该工具。在本文中，webinspect功能介绍， 我只想分享一些常见的发现， 您可能需要修复自己或致电 microsoft 支持以确认虚***正面标志。在开始之前， 我强烈建议您阅读下面的与 sharepoint 安全相关的文章:

urlscan 和 sharepoint在 sharepoint 中禁用多个登录会话的方法在硬化的 sharepoint 环境中的直接编辑功能frontpage 服务器扩展是否易受 sharepoint 2013 的影响？限制对 sharepoint 2013 web 服务的访问"密码永不过期" 的快速思考iis 请求筛选白名单和 sharepoint 2013对 sharepoint 审计的思考在 sharepoint 中防止放置方法的探讨iis 请求筛选白名单和 sharepoint 2013sharepoint 中的 intranet 协作安全性–1部分sharepoint 中的 intranet 协作安全性–2部分sharepoint 中的 intranet 协作安全性–3部分

WebInspect 检测站点缺陷spi 动态的软件超越了安全补丁。

扫描选项WebInspect 允许您运行安全扫描、完整扫描或突击扫描。安全扫描检查数据库错误和其他威胁性问题， 并执行不太可能导致服务器崩溃的攻击。完整扫描包括一些可能导致崩溃的攻击。攻击性扫描会引发可能导致 dos (拒绝服务) 失败的攻击， 如果您无法承受停机时间， 则不是一个好主意。您可以自定义测试并查看每个扫描所执行的每个测试。或者你可以写你自己的攻击。

我在微软的 windows 2000 工作站上安装了 WebInspect--不需要任何代理或其他软件。我对五生产网络服务器进行了全mian扫描， 这是我们锡拉丘兹大学现实世界 Labs?的一部分，webinspect， 四运行微软 iis 和一个运行的 apache。我还在一台测试机上进行了突击扫描

无论您运行的是哪个扫描， 软件都会首先遍历站点， 对每个页面和目录进行索引。我扫描了相对较小的网站， 每次扫描至少需要一个小时。然后， WebInspect 检查每个目录， 查找有问题的文件， 如 email_list、旧版本的应用程序和备份文件。

好发现编码错误提供优xiu的报告信息易于使用坏完整扫描需要很长时间才能完成许可证被硬编码以测试 web 服务器 ip 地址供应商信息WebInspect，

通过攻击扫描， WebInspect 进行了 web 服务器测试和客户端脚本检查的组合。在我的测试中， 它发现测试系统都有修补的缓冲区溢出漏洞。它还在几个 web 应用程序 (包括 microsoft frontpage) 中发现了 bug。软件测试参数操作、跨站点脚本以及生成数据库错误消息的页或参数。它不会检查或检查 web 用户无法访问的服务器上的任何代码或脚本。

HPWebInspect

动态分析–发现在运行应用程序的安全问题

特征:

? 领xian的自动化应用安全测试解决方案

? 对Web应用、WebServices进行安全检测

? 对Web应用技术的广泛支持

AJAX、J***aScript、Flash、Silverlight、Web

Services等

? 简单易用的“指导***”

，花费***少的时间在扫

瞄设定

? 自动更新安全规则

? 自动产生缺陷报告和详细修复建议