针对 hpe webinspect 强化您的 sharepoint 2013 的指南表达式语言注入
webinspect 可能检测到表达式语言 (el) 注入漏洞。当应用程序无法充分验证不受---的用户数据, 然后将其分配给某些 spring mvc jsp 标记的属性值时, 将引入 el 注入漏洞。标记的链接是 sharepoint 中的搜索查询 web 服务 (spsearch. asmx)。显然,webinspect, sharepoint 是一个基于. net 的框架, 它不包含任何与 sprint mvp jsp 相关的对象, 尤其是 java 平台。
在我的调查中, 行动是尝试在互联网浏览器的网址。显示的错误如下:
我想---即使 sharepoint 不是基于 java 的平台,webinspect在线咨询, 当 webinspect 向目标 url 发送 http 获取方法时, sharepoint 也不应返回任何内容或友---。不幸的是, 在这种情况下, sharepoint 不。相反, 它抛出了下面的错误, 说一个潜在的危险的请求. 从---检测到路径值 (%)。此错误意味着服务器处理 url, 并认为某些字符是非fa的。这听起来像是另一个问题的发现。解决方法是修改 requestpathinvalidcharacters 参数以在查询 url 时排除所有特殊字符。打开 web 应用程序的 web.config, 并由下面的代码段替换
httpruntime requestpathinvalidcharacters = requestvalidationmode = 2.0/此操作可能导致安全漏洞, 使攻击者能够使用可利用的参数查询 web 服务器。您需要一个允许的特殊字符的白名单。有关详细信息, 请阅读本文古怪中的实验: 在 asp.net/iis 请求 url 中允许百分数、角括号和其他顽皮的东西
同步扫描与审计将应用扫描与审计阶段整合到一个流程中。另外,webinspect---代理,因为根据实时审计结论对扫描进行了过滤,所以有助于了解web应用攻击的整体情况。智能引擎采用结构化、逻辑方式分析应用,然后再根据应用行为与环境定制攻击信息。hp
webinspect对这些---的突破性评估技术与漏洞数据库中常见的web应用漏洞进行了整合。
另外,您还能同时启动和管理多个扫描进程,---增加了检测量。这项扫描技术及其对现在web应用的支持,可对web应用的安全漏洞进行快速评估,webinspect报价,并提供准确的评估结论。
webinspect渗透检测---工具(hp security toolkit)
§
sql
injector:使用sql注入漏洞提取数据库的内容
§
cookie
cruncher:分析cookie的优点,以避免会话---
§
编码器:---加密方式和编码标准
§
http编辑器:创建和编辑原始http请求
§
regex编辑器:检测并建立正则表达式(regular expression)
§
soap编辑器:生成和编辑原始web服务请求
§
web
fuzzer:使用http模糊检测或修改输入变量发现缓冲器溢出
§
web代理:浏览网站时查看每个请求和服务器响应
§
webbrute:检测登录表的优点或web和代理验证系统
§
webdiscovery:查找端口后的web服务器及web应用
§
服务器分析器:确定web服务器或设备,进行深入的ssl分析
§
流量统计(traffic
monitor):监视扫描与审计过程中发出的所有http请求和响应
webinspect-华克斯-webinspect---代理由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是一家从事“loadrunner,fortify,源代码审计,源代码扫描”的公司。自成立以来,我们坚持以“诚信为本,---经营”的方针,勇于参与市场的良性竞争,使“loadrunner,fortify,webinspect”品牌拥有------。我们坚持“服务为先,用户”的原则,使华克斯在行业---软件中赢得了众的客户的---,树立了---的企业形象。 ---说明:本信息的图片和资料仅供参考,欢迎联系我们索取准确的资料,谢谢!
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713.zhaoshang100.com/zhaoshang/216493088.html
关键词: loadrunner - qtp - hp qc/alm - fortifysca - fireeye
滇公网安备 53011202000392号