webinspect-webinspect---代理-华克斯

针对 hpe webinspect 强化您的 sharepoint 2016 的指南

我已经在 microsoft sharepoint server 2013 中撰写了许多关于安全主题的文章， 在这段时间里， 我与---机构合作， 分享了我的经验和教训， 我的职责是---他们的 sharepoint 2013 农场尽可能的安全和稳定。这样的任务听起来很有挑战性， 因为 sharepoint 是一个包含多个不同组件的平台， 您不能仅仅分解它来实现某些内容。我的角色的一部分， 我要---如果某项被标记，webinspect正版软件， 则一旦自定义应用程序被批准部署到生产环境中， 就必须补救。

我的一个客户热衷于 hpe webinspect。他们选择它作为主要的 web 应用程序漏洞评估工具， 将其 sharepoint 部署到大约2万员工。由于使用了该工具， 我在报告中遇到了挑战， 每次在生产展开前需要扫描自定义应用程序时都会生成该工具。在本文中， 我只想分享一些常见的发现，webinspect---代理， 您可能需要修复自己或--- microsoft 支持以确认---的正面标志。在开始之前， 我---建议您阅读下面的与 sharepoint 安全相关的文章:

urlscan 和 sharepoint在 sharepoint 中禁用多个登录会话的方法在硬化的 sharepoint 环境中的直接编辑功能frontpage 服务器扩展是否易受 sharepoint 2013 的影响？---对 sharepoint 2013 web 服务的访问密码---过期 的快速思考iis 请求筛选白名单和 sharepoint 2013对 sharepoint 审计的思考在 sharepoint 中防止放置方法的探讨iis 请求筛选白名单和 sharepoint 2013sharepoint 中的 intranet 协作安全性–1部分sharepoint 中的 intranet 协作安全性–2部分sharepoint 中的 intranet 协作安全性–3部分

webinspect 学习，webinspect在线咨询， 因为它自动化的 web 应用程序安全评估易用性和可是该工具的其他优势， stasiak 说， ---是因为---可以补充的测试 webinspect 运行与他们自己开发。securestate 顾问还可以向 webinspect 数据库中添加---， 创建一个工具， 通过添加对 webinspect 的标准测试集的攻击， 执行更全mian的安全性评估。

能够将我们的手动测试添加到数据库中， stasiak 说， 允许我们增强整个 web 应用程序评估过程。

在 securestate 的 黑箱 测试中， webinspect 是一个---有用的工具， 公司的审核员无法访问应用程序源。由于该工具无需访问 web 应用程序代码或与开发团队联系， 就可以从外部角度执行审核， 因此它承担了黑ke的角色。stasiak 说， webinspect 中所包含的漏洞可以用来启动 web 服务器攻ji， 终导致访问应用程序。

例如， 与 iis 或 apache 相关的漏洞， stasiak 说， 可以引导我们在应用程序中获取应用程序数据或目录。

webinspect 应用securestate ---于---行业的公司的网络应用安全评估。

stasiak 说: 我们从一个应用程序的角度看问题，webinspect， 看看网上银行应用程序是如何编码的， 并确定漏洞所在。

该公司主要与的组织， 有专门的开发人员分配到特定的应用项目。stasiak 说， 由于这种安排， securestate 已经能够与开发人员合作， 帮助他们编写更安全的代码。

securestate 将其评估归类为 黑箱 或 白盒 审核。在黑盒审计中， webinspect 是如此有价值的， securestate 来自外部来测试漏洞和启动攻击以评估应用程序的安全程度。白盒审核是与开发人员合作执行的， 他们使应用程序代码可供 securestate 代表进行评估。