Web Inspect 網頁弱點掃描

/ 10 5 月, 2018/ Product-Security

HP WebInspect

自動化弱點掃描工具，用來檢測網頁應用程式與動態程式碼的安全性檢測，找出應用系統的安全漏洞，並提供快速精準的解決方案以及中文報表檢閱。
針對以網頁形式提供服務的應用程式(電子商務交易、企業、政府和教育機關資訊網…等)。
目的簡化發現與修復網頁應用程式安全性問題的工作，降低維護資訊安全的成本，提供程式開發人員(立即測試環境檢測安全性)、QA人員(測試功能正確性並確認安全)和安全稽核人員(確保企業網站安全地運行，符合各項必須遵守的規範)

• 根據Gartner研究，75%安全弱點來自應用系統
• 根據NIST (美國美國國家標準及技術研究所)研究，92%的安全漏洞存在於軟體中
• 資安問題頻傳，包括網頁遭置換、駭客透過網頁(不安全的應用程式)竊取資料
• 個人資料保護法在2012年10月正式上路後，網路資安備加重視

先進的自動化滲透測試，提升弱點掃描的準確性進行配置建議

1. 無需取得網站程式碼，直接對運行中的Web應用程式進行檢測，而非對原始碼進行分析
2. 可檢測動態執行的安全問題，檢測系統環境的安全問題
3. 模擬駭客攻擊的手法(超過1400種且持續增加)，以無害的方式使用運行中的Web應用系統，判斷系統是否存在各種安全性問題，按照問題的輕重緩急順序，提供可立即處理問題的建議做法
4. 報表列出掃描弱點，將弱點嚴重程度分類，以利排定修復優先順序並提供詳細說明、成因及修復方式
5. 支援F5,Imperva WAF, TippingPoint Webinspect可以將網頁弱點掃描出的安全漏洞自動彙整成policy後自動調整WAF，整合防禦加強網頁資訊安全性。
6. 評估智慧掃描現今複雜且互動率高的Web2.0網站(最早支援Web 2.0 App)，而非大多數的網站應用掃描器均針對簡單、相對靜態的 Web 技術所設計，缺乏精密度。

創新檢測功能：

1. JavaScript / Ajax：透過 JavaScript 追蹤和記錄程式碼路徑，從使用者的角度完整分析應用的變化方式，同時監看 Ajax 和 Web 服務要求並據此對伺服器端應用進行攻擊，使漏洞無所遁形。
2. Adobe® Flash：對 Flash 檔案進行反向組譯後，針對結果程式碼執行靜態分析偵測漏洞，防堵使用Adobe Flash 技術應用內所存在的資安漏洞。
3. REST：採用一組特定的演算法來偵測 RESTful服務並擷取 URL 重寫商業邏輯。WebInspect 接著會攻擊所有相關的 URL 參數，判斷是否有資安漏洞存在。
4. Crawling複製網頁後，模擬攻擊檢測有無安全漏洞
5. 先進的巨集錄製技術和彈性的驗證處理

提供滲透測試人員所需的進階工具( HP Security Toolkit )

• 報告設計工具：可讓您建立新報告或自訂 HP 提供的報告、結合外部資料來源、編輯樣式以及建立自訂使用者輸入
• SQL 載入工具：使用 SQL 插入漏洞來擷；取整個資料庫
• Cookie 壓縮工具：分析 Cookie 的強度，避免工作階段遭到劫持
• 編碼工具：轉譯不同的加密和編碼標準

可付諸行動的補救和法規遵循報告

• 針對所有主要的法規標準執行法規遵循報告，包括PCI、SOX、ISO 和 HIPAA
• 配合企業需求，建立靈活、可延伸和可擴充的報告範本，簡化工作重覆性
• 掃描比較功能可針對兩次掃描所找到的漏洞進行差異分析比較，讓使用者可以看到補救的成效，以及監控是否有任何新漏洞產生。

重要整合

• 可以整合到缺失管理流程與 HP Application Lifecycle Management 及 Quality Center
• 整合企業應用安全管理流程與 HP WebInspect Enterprise 軟體
• 透過 XML 支援廣泛資料匯出，可與其他安全管理系統開放整合
• 透過與 ODBC、SQL 或 XML 資料庫連接，將外部資料來源的資訊納入報告中

HP Web SmartUpdate安全研究小組

由頂尖安全研究人員所組成的菁英團隊，致力於領導Web 應用漏洞的偵測和創新。不僅在 Web 應用漏洞評估方面提供最新的創新，同時透過 HP SmartUpdate，自動產生所有產品定期且及時更新。

WebInspect效益

• 節省軟體首次購買、維護(MA)成本
• 節省設備成本：無須另外準備硬體、機房設備
• 節省人力成本：無須專職人員管理工具、IT人員無須學習工具操作