针对 hpe webinspect 强化您的 sharepoint 2013 的指南表达式语言注入
webinspect 可能检测到表达式语言 (el) 注入漏洞。当应用程序无法充分验证不受---的用户数据, 然后将其分配给某些 spring mvc jsp 标记的属性值时, 将引入 el 注入漏洞。标记的链接是 sharepoint 中的搜索查询 web 服务 (spsearch. asmx)。显然, sharepoint 是一个基于. net 的框架, 它不包含任何与 sprint mvp jsp 相关的对象, 尤其是 java 平台。
在我的调查中, 行动是尝试在互联网浏览器的网址。显示的错误如下:
我想---即使 sharepoint 不是基于 java 的平台,webinspect购买价格, 当 webinspect 向目标 url 发送 http 获取方法时, sharepoint 也不应返回任何内容或友---。不幸的是, 在这种情况下, sharepoint 不。相反, 它抛出了下面的错误, 说一个潜在的危险的请求. 从---检测到路径值 (%)。此错误意味着服务器处理 url, 并认为某些字符是非fa的。这听起来像是另一个问题的发现。解决方法是修改 requestpathinvalidcharacters 参数以在查询 url 时排除所有特殊字符。打开 web 应用程序的 web.config, 并由下面的代码段替换
httpruntime requestpathinvalidcharacters = requestvalidationmode = 2.0/此操作可能导致安全漏洞, 使攻击者能够使用可利用的参数查询 web 服务器。您需要一个允许的特殊字符的白名单。有关详细信息, 请阅读本文古怪中的实验: 在 asp.net/iis 请求 url 中允许百分数、角括号和其他顽皮的东西
hpwebinspectenterprise
在整个企业提供有效的web应用安全性测试
它要解决的问题:
面对大量的web应用程序,管理大型的,分布式的web
应用安全测试
特征:
监控关键指标,在大型应用程序的安全性测试项目的进展和趋势
提供基于浏览器的,资源共享的,可以控制扫描优先级任务调度
的,webinspect技术支持,集中测试和管理平台
通过基于角色的扫描和报告管理,webinspect,控制企业web应用程序的安全
性
效益:
消除低效和不一致的评估和漏洞管理过程
提高可视性和安全性测试控制和报告
证明符---规,标准和政策
企业安全评估
hpwebinspect可以和hp
assessment management platform具有可扩展特性,能对用户权限、安全策略和远程扫描管理实施集中控制,webinspect正版软件,可全mian了解整个组织的应用安全状态。此外,hp
webinspect还能将漏洞直接提交给hp quality ws=软件,为开发和---(qa)团队查找、管理和修复安全缺陷以及其它应用缺陷提供帮助。
webinspect技术支持-webinspect-华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是江苏 苏州 ,行业---软件的企业,多年来,公司贯彻执行科学管理、---发展、诚实守信的方针,满足客户需求。在华克斯---携全体员工热情欢迎---垂询洽谈,共创华克斯美好的未来。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713.zhaoshang100.com/zhaoshang/219228340.html
关键词: loadrunner - qtp - hp qc/alm - fortifysca - fireeye
滇公网安备 53011202000392号