华克斯-webinspect功能介绍-webinspect

针对动态代码评估强化 sharepoint 2013 的指南: 代码注入

***隐私: 违反

这一个曾经是我的噩梦时， 穿着 sharepoint 架构师和农场管理员。浏览器侦察和撤退通过自适应压缩超文本 (违反) 攻击是一种站点通道攻击， 它允许攻击者***通过 ssl/tls 启用的信道传输的 http 响应中包含的敏感信息。在 internet 上发现的建议之一是在两种类型的内容上禁用 http 压缩: 动态和静态。至少我们知道这样做对 sharepoint 从业务功能角度来看没有影响， 除了带宽和性能。打开 web 应用程序的 nfig 文件并添加以下行

lt;system.webServergt;lt;urlCompression doStaticCompression="false" doDynamicCompression="false"/gt;lt;/system.webServergt;

禁用 http 压缩不能有效地更改 WebInspect 的结果。在我的例子中， 我打开了一张微软的支持票来得到他们的建议。幸运的是微软证实了这个平台没有漏洞，webinspect在线咨询， 我能够回答我的客户。

不安全部署: 修补 activex

WebInspect 检测到使用了 activex 对象。如果使用了 microsoft 活动模板的易受攻击的公共版本， 则可能表示存在漏洞。visual studio 附带的 microsoft 活动模板库 (atl) 的公共版本中有三漏洞。

仔细测试并应用操作系统安全更新 (华克斯)

不安全的应用程序页

这实际上不是 WebInspect 能够达到的， 但有时 WebInspect 可能无法访问应用程序页 (如/viewlsts. aspx) 来扫描目标网站集， 即使启用了匿名访问也是如此。这是因为 t 是因为有限访问用户权限锁定模式功能被***uo。启用此功能后， "受限访问" 权限级别 (如匿名用户) 的用户权限将减少， 从而阻止对应用程序页的访问。

运行以下 powershell 脚本禁用受限访问用户权限锁定模式功能

SPFeature –Site "华克斯"SPFeature viewformpageslockdown禁用-SPFeature 美元 a –url 美元

继续..。

webinspect14

HP帮助***识别Web应用程序中的漏洞

HP WebInspect可以***和自动化现实世界中的攻击来保护应用程序

伦敦 - 惠普今天宣布推出HP WebInspect 14，这是一种独特的应用安全解决方案，通过指导性测试过程***真实世界的攻击，webinspect功能介绍，使***能够开发和提供安全的Web应用程序和Web服务。

Web应用程序仍然是安全漏洞的重要来源。从2000年到2017年，六个***常报告的漏洞中有四个可以通过网络进行利用。（1）彻底的应用程序安全测试被证明可以在发生攻击之前防止攻击，但是许多***缺乏实施安全测试流程的资源，工具和时间。没有适当的测试，这些Web应用程序可能会包含攻击者易于利用的漏洞。

HP WebInspect 14是一个自动化的，可配置的应用程序安全解决方案，可动态测试Web应用程序和Web服务，以快速准确地识别可利用的安全漏洞。使用HP WebInspect 14.0，安全团队可以在开发过程的早期高xiao地管理测试结果并分发可执行的安全智能和补救指导。 HP WebInspect 14.0还通过使安全团队分享***jia实践来保护关键入口点免受攻击，从而改善安全应用程序开发。

惠普Fortify的企业安全产品副总裁兼总经理Mike Armistead表示：“为了有效构建安全可靠的Web应用程序，***需要考虑并测试发展中的关键威胁。 “HP WebInspect 14.0使客户能够在其安全工作中变得积极主动，而不是在发生攻击后对攻击做出反应，通过模拟攻击以及早发现漏洞并在发生之前防止***。

HP WebInspect 14.0包括新的引导式扫描，这是一种独特的交互式测试流程，基于正在申请专利的自适应组件识别技术，用于分析现代复杂的Web应用程序和J***aScript。引导式扫描引导新手用户和***安全测试人员在测试配置难以排除故障的自定义环境中将测试适配到特定场景。这样可以更好地处理复杂的场景，例如检测代理错误配置或网络身份验证。

HP WebInspect14

产品：

Weblnspect 14

强度：强大的扫描引擎。强大的功能集继续发展。

WEAKNESSES：没有真正的企业能力开箱即用的更高的价格。

VERDICT：一个包含广泛的功能和配置选项的顶ji Web应用程序评估产品。

HP WebInspect 14（SPI Dynamics现在是HP Software的一部分）是一种***的Web应用程序测试产品。虽然WebInspect本身不是企业解决方案，但它可以轻松地集成到HP╒AMP架构中，以实现集中管理和报告功能。

安装和***uo产品很容易，webinspect，管理员可以在几分钟内启动并运行。该产品在Windows XP SP2或Windows 2003上运行，webinspect技术支持，并使用MS SQL Express SP1或2005作为数据库后端。管理仪表板导航简单，可以通过点击鼠标来实现在企业环境中配置和调度扫描的基本任务。

虽然管理上产品易于管理，仪表板提供了易于理解的扫描视图，但WebInspect的真正功能在于动态和强大的扫描引擎。 WebInspect完全支持Web 2.0架构，并包括扫描AJAX，SOAP，Flash和其他新兴技术。

虽然许多其他产品也测试类似的架构，但WebInspect可以发现的漏洞在我们的测试中是显而易见的，并且产品执行异常。我们发现分析优化是一个很好的功能，允许用户在执行扫描之前利用推荐的设置。该产品还提供了几个有用的工具，以及用于增强定制的合规性和策略管理编辑器。基于宏和重播的扫描选项是有帮助的。

文档很有用，并且包含足够的文字和屏幕截图。报告是坚实的，涵盖许多有用的类别。但是，HP和SPI Dynamics支持站点都包含一致性支持仍在进行中的声明。大多数支持和产品信息都包含在旧的SPI Dynamics站点内。

HP WebInspect14的价格为14万元。该产品包含标准支持，全天候支持可提供额外费用。鉴于许多同行提供相似的功能集，以降低成本，我们将考虑产品的价格高。