webinspect-webinspect漏洞-华克斯

webinspect 学习， 因为它自动化的 web 应用程序安全评估易用性和可是该工具的其他优势， stasiak 说， ---是因为---可以补充的测试 webinspect 运行与他们自己开发。securestate 顾问还可以向 webinspect 数据库中添加---， 创建一个工具， 通过添加对 webinspect 的标准测试集的攻击， 执行更全mian的安全性评估。

能够将我们的手动测试添加到数据库中， stasiak 说， 允许我们增强整个 web 应用程序评估过程。

在 securestate 的 黑箱 测试中， webinspect 是一个---有用的工具， 公司的审核员无法访问应用程序源。由于该工具无需访问 web 应用程序代码或与开发团队联系，webinspect， 就可以从外部角度执行审核， 因此它承担了黑ke的角色。stasiak 说， webinspect 中所包含的漏洞可以用来启动 web 服务器攻ji， 终导致访问应用程序。

例如， 与 iis 或 apache 相关的漏洞， stasiak 说， 可以引导我们在应用程序中获取应用程序数据或目录。

webinspect 应用securestate ---于---行业的公司的网络应用安全评估。

stasiak 说: 我们从一个应用程序的角度看问题， 看看网上银行应用程序是如何编码的， 并确定漏洞所在。

该公司主要与的组织， 有专门的开发人员分配到特定的应用项目。stasiak 说， 由于这种安排， securestate 已经能够与开发人员合作， 帮助他们编写更安全的代码。

securestate 将其评估归类为 黑箱 或 白盒 审核。在黑盒审计中， webinspect 是如此有价值的， securestate 来自外部来测试漏洞和启动攻击以评估应用程序的安全程度。白盒审核是与开发人员合作执行的，webinspect版本， 他们使应用程序代码可供 securestate 代表进行评估。

webinspect：

webinspect是hp提供的web应用程序安全扫描工具。它有助于安全人员评估web应用程序中潜在的安全漏洞。 webinspect基本上是一个动态黑盒测试工具，通过实际执行攻击来检测漏洞。在web应用程序启动扫描后，有一些评估代理可以在应用程序的不同区域工作。他们将结果报告给评估结果的安全引擎。它使用审计引擎攻击应用程序并确定漏洞。在扫描结束时，您可以生成一个名为“漏洞评估报告”的报告，webinspect价格，其中列出了所需格式的安全问题。使用此报告，---可以解决问题，然后进行验证扫描以确认相同。 hp webinspect是一种商业工具，您需要---来扫描网站。使用轨迹版本，您将被允许仅扫描zero.webappsecurity.com（hp演示网站）。所以当应用程序托管在某些环境（测试/检查/生产）中时，webinspect基本上可以看出。与其他所有工具一样，与使用webinspect相关的优点和缺点都有。

优点：

在处理大型企业应用程序时节省时间

模拟攻击，显示结果，并提供全mian的观点。

它不依赖于底层语言。

缺点：

任何工具难以找到逻辑缺陷，弱密码存储，---信息的---性等。

它具有在每个web应用程序上使用的有效负载列表。根据应用程序的类型，webinspect漏洞，它不会在生成有效负载时使用任何智慧。

列出的漏洞可能存在---。

话虽如此，webinspect在许多功能上都获得了---的成绩，有助于提供扫描解决方案。