web安全应用工具-webinspect-华克斯

webinspect 学习， 因为它自动化的 web 应用程序安全评估

securestate 应用程序安全架构师 petteys 说: 我们与开发人员在 qa 过程后进行安全---， 并在生产之前找到错误。

petteys 说， 大多数编码安全问题的发生是因为缺乏对 web 开发的经验， 或者只是简单的疏忽。尽管开发人员可能了解这些工具以及如何对应用程序进行编码， 但 petteys 说， 他们可能不熟悉关键的安全风险。

会把安全性放在应用程序的前端，web安全应用工具， petteys 说， 但他们有时会在随后的页面上忘记它。

缺少访问控制是 petteys 发现的常见错误之一。他说， 他遇到的其他常见问题是缺乏数据验证和错误处理的缺失或缺陷。向用户显示的错误消息通常包含黑ke可能利用来发起攻击的---息。petteys 说， 这些错误应该被bu获和记录，webinspect工具， user-friendly 消息不应该透露更多的信息比用户的需求。

petteys 说: 我们实际上看到了一个数据库被传播和显示给用户的错误， 提供了可能导致访问更多数据的信息。

stasiak 说， 不为用户捕获和筛选的错误消息可以显示网站的布局方式， 从而允许不道德的用户访问不同的位置和文件。

根据 stasiak 和 petteys， webinspect 揭示了---可以用来测试哪些弱点可以被利用的细节。例如， webinspect 将对该站点进行查询， 并显示在---和服务器之间交换的数据， 包括用户帐号。

stasiak 说，webinspect版本， 通过 webinspect 提供的信息， 他的团队可以更改参数并重新提交查询， 以查看这些常见的黑ke技巧是否会让他们访问其他用户的数据。

一个无价的工具由于它自动化了许多审计任务， webinspect 可以---加快进行安全评估的过程。stasiak 说， 克利夫兰地区的大部分金融机构都将他们的网络应用安全外包给了 securestate， 它通常每月进行大约三或四次---。他补充说，webinspect， 执行一个典型的 web 应用程序---需要一两周的时间。

stasiak 说， securestate 已经评估了许多安全审计工具多年来， 并发现自动化和可的 webinspect 已使它 securestate 的工具的选择评估 web 应用程序的安全性。

对于有兴趣部署 webinspect 的组织， 您可以---版。您还可以通过此 pdf 小册子来进一步查看该产品。

webinspect 检测站点缺陷spi 动态的软件---了安全补丁。问题解决在完全扫描中， 我对使用 sql 数据库的站点运行， webinspect 查看了 web 窗体中的参数。然后， 它对它们进行了操作， 并执行了 sql 命令注入， 其中---提供的数据进入 sql 查询字符串。该站点有一个 bug， 使攻击者能够在表单中传递隐藏的用户 id 参数来执行会话---。几分钟后， ---的程序员看到的报告， 他们能够发布一个单一的 javasc ript 线的修复程序。该报告帮助程序员理解了这个问题--一个不正确的参数验证--因此他们可以设计出一个解决方案。

webinspect 试验台---放大

我在修补默认的 iis 服务器安装上运行攻击扫描。你可以从突击测试中看到一份报告。它显示了攻击扫描的输出， 包括对该漏洞的详细描述以及如何修补它。除其他外， webinspect 发现网络打印协议缓冲区溢出。该报告包括一个指向可能执行此攻击的程序源代码的链接， 以及的 microsoft 和 eeye 咨询页面。该报告还显示了找到的每个电子邮件地址 (垃圾邮件地址收集)、隐藏的页和字段、代码中的注释、窗体和页面上的 javasc ript。webinspect 的功能包括支持基本和 ntml 的身份验证以及对十六进制、unicode、base64 和 md5 进行编码或解ma的工具。