webinspect發(fā)現(xiàn)web應(yīng)用與服務(wù)中的安全漏洞
hp webinspect是一款易用、可擴(kuò)展、精que的web應(yīng)用安全評(píng)估軟件,能幫助安全人員和入門(mén)者查找與發(fā)現(xiàn)web應(yīng)用和服務(wù)中存在的高風(fēng)險(xiǎn)安全漏洞。
支持復(fù)雜的環(huán)境
大多數(shù)應(yīng)用掃描程序面向原有的web技術(shù),無(wú)法自動(dòng)掃描使用ajax、soap、javasc ript和flash技術(shù)開(kāi)發(fā)的新型web 2.0應(yīng)用。而hp webinspect能對(duì)如今的web應(yīng)用技術(shù),包括使用雙重身份鑒定及其它改進(jìn)技術(shù)的內(nèi)容豐富的網(wǎng)站進(jìn)行分析。其架構(gòu)支持hp
webinspect查看整個(gè)應(yīng)用,減少漏報(bào)false negative現(xiàn)象。
webinspect
技能
這是什么?
實(shí)踐成功與skillset圖書(shū)館超過(guò)100,000練習(xí)測(cè)試問(wèn)題。我們分析您的回答,并可以確定何時(shí)準(zhǔn)備參加測(cè)試。
介紹:
隨著互聯(lián)網(wǎng)使用率的飛速增長(zhǎng),各地的公司對(duì)于擁有自己的網(wǎng)絡(luò)應(yīng)用程序非常chi迷,只需---一下即可為用戶(hù)提供所有功能。在為客戶(hù)提供單---解決方案的任務(wù)中,所有敏感數(shù)據(jù)都轉(zhuǎn)移到一個(gè)服務(wù)器上,然后由web應(yīng)用程序訪問(wèn)。在大多數(shù)情況下,web應(yīng)用程序可以直接訪問(wèn)后端數(shù)據(jù)庫(kù),從而控制有價(jià)值的數(shù)據(jù)。使用簡(jiǎn)單---制作的---有效載荷,黑ke現(xiàn)在可以從數(shù)據(jù)庫(kù)獲取所有信息。因此,web應(yīng)用程序需要足夠安全來(lái)處理攻擊---。
保護(hù)web應(yīng)用程序:
現(xiàn)在顯而易見(jiàn)的是,---web應(yīng)用程序?qū)τ诠緛?lái)說(shuō)---。真正的問(wèn)題是如何實(shí)現(xiàn)。以下是---web應(yīng)用程序中的安全漏洞被識(shí)別的一些檢查:
威脅建模涉及在設(shè)計(jì)階段識(shí)別應(yīng)用程序的威脅,攻擊,漏洞和對(duì)策。
開(kāi)發(fā)階段結(jié)束時(shí)的安全代碼-情況。檢查整個(gè)代碼以查找漏洞。
在某些環(huán)境下部署應(yīng)用程序后,進(jìn)行手動(dòng)滲透測(cè)試。該應(yīng)用程序受到攻擊和評(píng)估的漏洞。
自動(dòng)漏洞掃描器是通過(guò)識(shí)別存在的漏洞來(lái)幫助滲透測(cè)試人員的工具。
webinspect是當(dāng)今市場(chǎng)上使用廣泛的自動(dòng)漏洞掃描器之一。它可以幫助我們通過(guò)從我們那里獲得---的投入來(lái)識(shí)別網(wǎng)絡(luò)應(yīng)用程序中存在的漏洞。 ibm appscan標(biāo)準(zhǔn)版,acunetix掃描儀,burp掃描儀,nikto是其他的漏洞掃描器。對(duì)于本文的其余部分,我將---于使用webinspect來(lái)識(shí)別安全漏洞。
hp webinspect 動(dòng)態(tài)應(yīng)用測(cè)試hp 卷 webinspect
hp 正在使用新的 web 2.0、用戶(hù)行為和 flash 分析功能擴(kuò)展其安全解決方案。hp 還發(fā)布了一個(gè)新的管理工具, 以幫助企業(yè)降低風(fēng)險(xiǎn)并管理應(yīng)用程序安全測(cè)試工作。
hp 的安全努力 (紐約證交所: 惠普) 來(lái)了, 因?yàn)檠芯坷^續(xù)表明, 應(yīng)用安全是一個(gè)大企業(yè)的關(guān)注。forrester 的一項(xiàng)新研究 (由惠普競(jìng)爭(zhēng)--- vericode 贊助) 聲稱(chēng), 在過(guò)去的12月中, 有62% 的公司被軟件的漏洞所破壞。
在過(guò)去的12月里, 我們看到了---的市場(chǎng)變化, 尼克·貝爾, ---經(jīng)理, 產(chǎn)品, 應(yīng)用安全, 軟件和解決方案在惠普告訴 internetnews.com。人們常常問(wèn)我們?yōu)槭裁葱枰獞?yīng)用程序安全測(cè)試, 現(xiàn)在客戶(hù)問(wèn)我們?nèi)绾螌?shí)際地執(zhí)行應(yīng)用程序安全性。
貝爾補(bǔ)充說(shuō), web 2.0 是應(yīng)用程序安全的一個(gè)重要驅(qū)動(dòng)因素, 這是計(jì)算機(jī)---的新 webinspect 14產(chǎn)品的關(guān)鍵焦點(diǎn)。
貝爾說(shuō): 應(yīng)用程序的新復(fù)雜性以及將更多的業(yè)務(wù)邏輯和數(shù)據(jù)轉(zhuǎn)移到---, 增加了黑ke的攻擊面。
閃存中的漏洞
webinspect 14 中的一個(gè)關(guān)鍵加法是 swfscan, 它是用于分析 adobe flash 應(yīng)用程序中的漏洞的 hp 開(kāi)發(fā)的技術(shù)。惠普在今年早些時(shí)候在華盛頓舉行的黑帽會(huì)議上首ci討論了 swfscan, 并于上月免費(fèi)提供了該基地產(chǎn)品。
惠普的安全工具分部部分來(lái)自于2007年收購(gòu) spi 動(dòng)態(tài)。在添加詳細(xì)的 flash 分析時(shí), hp 至少遵循 spi 動(dòng)態(tài)的一個(gè)傳統(tǒng)競(jìng)爭(zhēng)---。w---hfire (現(xiàn)在由 ibm 擁有) 發(fā)布了一個(gè)新版本的 appscan 平臺(tái), 并在今年早些時(shí)候進(jìn)行了 flash 掃描。
新的 webinspect 14平臺(tái)也執(zhí)行更深的 javasc ript 分析。杰夫摩根, 企業(yè)產(chǎn)品經(jīng)理, 應(yīng)用安全, 軟件和解決方案在惠普解釋說(shuō), 惠普現(xiàn)在正在行使的 javasc ript 就像用戶(hù)。摩根辯稱(chēng), 一旦用戶(hù)開(kāi)始運(yùn)行程序并實(shí)際單擊項(xiàng)目, 應(yīng)用程序行為就會(huì)發(fā)生變化。因此, 當(dāng) web 應(yīng)用程序開(kāi)始運(yùn)行并與用戶(hù)交互時(shí), webinspect 現(xiàn)在可以發(fā)現(xiàn)漏洞。
摩根解釋說(shuō), hp 在執(zhí)行 javasc ript ---代碼時(shí)會(huì)引入它, 然后在使用它時(shí)對(duì)其執(zhí)行靜態(tài)分析。
滲透測(cè)試工具
根據(jù) webinspect 14能夠檢測(cè)到的新的特定類(lèi)型的攻擊, 摩根---提供一份功能的洗衣清單。其他滲透測(cè)試工具, 如來(lái)自 hp 競(jìng)爭(zhēng)--- cenzic (近更新過(guò)的), 在它們變得可用時(shí), 可以列出新的攻擊。
例如, xin的 cenzic clicktosecure 5.9 版本包括用于-、幀注入和 javasc ript -的新檢測(cè)機(jī)制。cenzic 和惠普卷入了一項(xiàng)----,fortify sca購(gòu)買(mǎi), 該爭(zhēng)議在2007年被解決。
摩根---說(shuō): 我近見(jiàn)過(guò)一些其他關(guān)于供應(yīng)商做一次檢查的公告。我們?cè)谶@個(gè)新版本中談?wù)摰暮芏鄡?nèi)容都是關(guān)于了解漏洞的全新方法。這就是人們發(fā)現(xiàn)的漏洞, 在豐富的應(yīng)用程序, 正在遇到。我們正在尋找---個(gè)人檢查, 以---我們了解黑ke發(fā)現(xiàn)的漏洞。
登錄后臺(tái)
