webinspect-华克斯-webinspect

针对 hpe webinspect 强化您的 sharepoint 2013 的指南

本文将为您提供有关在 hpe webinspect 工具可能报告的 sharepoint 2013 环境中的建议和补救问题的指导。

免责声明: 补救可能不适用于某些情况， 并且必须---考虑 sharepoint 平台。这基本上意味着我的建议不是每一个---。它必须经过测试， 并得到您的安全人员的批准。此外， 我的建议只是预防行动， 以清除 webinspect 发现的安全旗。为了完全防止， 也许您需要更多的自定义功能来授权或验证每个请求。这将有助于---的努力， 超出了我的文章范围。如果你---没有听过 hpe webinspect，webinspect---代理， 你该在这里读一些营销资料 华克斯/software/webinspect。这个名字也许是为了巩固 webinspect 的。在 sharepoint 上下文中， webinspect 将抓取您的网站集 url 输入的所有链接， 然后尝试发送有效载荷以检索敏感或非机mi信息。该漏洞依赖于xin的国际---的---来源。

webinspect 14中的主要功能：

两个“c + a”：

webinspect将为您做两件事：抓取+审核

webinspect需要做的两件事情：配置+分析。

抓取：爬网是webinspect将通过遍历该网站上的每个可能链接构建整个网站的树结构的过程。

审计：审计是进行攻击以评估漏洞的过程。

抓取+审核=扫描

配置：你需要告诉webinspect你需要什么。如果您不希望在您的站点中遇到特定的功能，webinspect，则需要手动指ding，或者如果您只想知道xss和sqli漏洞，您需要提及与webinspect相同的功能。所以配置基本上是让webinspect知道你想要什么和你不想要什么。这是在“默认扫描设置”选项卡中进行的。

分析：您需要分析webinspect提供的结果并消除---。

开始扫描：

要开始扫描，请启动webinspect，如下所示（图2），“扫描向导”窗口打开，您可以选择要执行的扫描类型。所以选择网站扫描。在扫描向导中，右侧可以看到近打开的扫描和计划中的扫描。您还可以安排扫描在特定时间开始。

图2

选择网站扫描后，您将进入下面的窗口（图3），您需要输入扫描名称。选择“抓取和审核按钮”，然后选择扫描类型。

图3

标准扫描：用于大多数情况。这是开始扫描的标准方法。

列表驱动扫描：允许您指ding要扫描的url列表。只会扫描这些url。 url可以在文本文件中指ding。

工作流驱动扫描：这仅用于扫描您网站的一部分，而不是整个网站。需要扫描的部分可以由我们即将研究的工作流宏指ding。

手动扫描：允许您以步进模式手动指ding要扫描的链接。

在标准扫描之下，您可以看到限定扫描范围的---文件夹选项。这非常重要，因为扫描范围取决于您选择的选项。以下是您可以从下拉列表中选择的选项：

---目录：如果您选择此选项并指ding一个url，例如华克斯，则webinspect将仅评估myfolder，而不是其中存在的目录。

目录和子目录：webinspect不会打到目录树中更高的任何文件夹。

目录和父目录：webinspect不会击中目录树中较低的任何文件夹。

在扫描向导窗口的左下角（图3），有一个“设置（默认）”按钮，它是webinspect的---。使用它，我们配置扫描并告诉webinspect我们想要的。单击设置（默认），并打开“默认设置”窗口（图4）。