webinspect技术支持-华克斯-webinspect

针对动态代码评估强化 sharepoint 2013 的指南: 代码注入

------: 违反

这一个曾经是我的噩梦时， 穿着 sharepoint 架构师和农场管理员。浏览器侦察和撤退通过自适应压缩超文本 (违反) 攻击是一种站点通道攻击， 它允许攻击者窃取通过 ssl/tls 启用的信道传输的 http 响应中包含的---息。在 internet 上发现的建议之一是在两种类型的内容上禁用 http 压缩: 动态和静态。至少我们知道这样做对 sharepoint 从业务功能角度来看没有影响， 除了带宽和性能。打开 web 应用程序的 web.config 文件并添加以下行

;;;

禁用 http 压缩不能有效地更改 webinspect 的结果。在我的例子中，webinspect技术支持， 我打开了一张微软的支持票来得到他们的建议。幸运的是微软证实了这个平台没有漏洞， 我能够回答我的客户。

不安全部署: 修补 activex

webinspect 检测到使用了 activex 对象。如果使用了 microsoft 活动模板的易受攻击的公共版本，webinspect电话， 则可能表示存在漏洞。visual studio 附带的 microsoft 活动模板库 (atl) 的公共版本中有三漏洞。

仔细测试并应用操作系统安全更新 (华克斯)

不安全的应用程序页

这实际上不是 webinspect 能够达到的， 但有时 webinspect 可能无法访问应用程序页 (如/viewlsts. aspx) 来扫描目标网站集， 即使启用了匿名访问也是如此。这是因为 t 是因为有限访问用户权限锁定模式功能被激huo。启用此功能后，webinspect正版软件， 受限访问 权限级别 (如匿名用户) 的用户权限将减少， 从而阻止对应用程序页的访问。

运行以下 powershell ---禁用受限访问用户权限锁定模式功能

spfeature –site 华克斯spfeature viewformpageslockdown禁用-spfeature 美元 a –url 美元

继续..。

hp webinspect配置方便，易于使用。无需安装服务器端即可进行远程web应用评估。利用其向导界面，您可以开展全自动web应用评估，并在整个评估过程中利用手动方式与其互动。---用户可利用命令行界面进行扫描。

为您的环境---

hp webinspect支持您对产品的功能进行扩展，以满足组织的特定需求。您可以对hp

webinspect进行配置，使其适应各种web应用环境，使用自定义检查向导创建自定义攻击。策略管理器（policy

manager）允许您在不同的检查层次（check level）中选择和配置攻击。