Web Inspect 網頁弱點掃描
/ 10 5 月, 2018/ Product-Security
HP WebInspect
自動化弱點掃描工具,用來檢測網頁應用程式與動態程式碼的安全性檢測,找出應用系統的安全漏洞,並提供快速精準的解決方案以及中文報表檢閱。
針對以網頁形式提供服務的應用程式(電子商務交易、企業、政府和教育機關資訊網…等)。
目的簡化發現與修復網頁應用程式安全性問題的工作,降低維護資訊安全的成本,提供程式開發人員(立即測試環境檢測安全性)、QA人員(測試功能正確性並確認安全)和安全稽核人員(確保企業網站安全地運行,符合各項必須遵守的規範)
- 根據Gartner研究,75%安全弱點來自應用系統
- 根據NIST (美國美國國家標準及技術研究所)研究,92%的安全漏洞存在於軟體中
- 資安問題頻傳,包括網頁遭置換、駭客透過網頁(不安全的應用程式)竊取資料
- 個人資料保護法在2012年10月正式上路後,網路資安備加重視
先進的自動化滲透測試,提升弱點掃描的準確性進行配置建議
- 無需取得網站程式碼,直接對運行中的Web應用程式進行檢測,而非對原始碼進行分析
- 可檢測動態執行的安全問題,檢測系統環境的安全問題
- 模擬駭客攻擊的手法(超過1400種且持續增加),以無害的方式使用運行中的Web應用系統,判斷系統是否存在各種安全性問題,按照問題的輕重緩急順序,提供可立即處理問題的建議做法
- 報表列出掃描弱點,將弱點嚴重程度分類,以利排定修復優先順序並提供詳細說明、成因及修復方式
- 支援F5,Imperva WAF, TippingPoint Webinspect可以將網頁弱點掃描出的安全漏洞自動彙整成policy後自動調整WAF,整合防禦加強網頁資訊安全性。
- 評估智慧掃描現今複雜且互動率高的Web2.0網站(最早支援Web 2.0 App),而非大多數的網站應用掃描器均針對簡單、相對靜態的 Web 技術所設計,缺乏精密度。
創新檢測功能:
- JavaScript / Ajax:透過 JavaScript 追蹤和記錄程式碼路徑,從使用者的角度完整分析應用的變化方式,同時監看 Ajax 和 Web 服務要求並據此對伺服器端應用進行攻擊,使漏洞無所遁形。
- Adobe® Flash:對 Flash 檔案進行反向組譯後,針對結果程式碼執行靜態分析偵測漏洞,防堵使用Adobe Flash 技術應用內所存在的資安漏洞。
- REST:採用一組特定的演算法來偵測 RESTful服務並擷取 URL 重寫商業邏輯。WebInspect 接著會攻擊所有相關的 URL 參數,判斷是否有資安漏洞存在。
- Crawling複製網頁後,模擬攻擊檢測有無安全漏洞
- 先進的巨集錄製技術和彈性的驗證處理
提供滲透測試人員所需的進階工具( HP Security Toolkit )
- 報告設計工具:可讓您建立新報告或自訂 HP 提供的報告、結合外部資料來源、編輯樣式以及建立自訂使用者輸入
- SQL 載入工具:使用 SQL 插入漏洞來擷;取整個資料庫
- Cookie 壓縮工具:分析 Cookie 的強度,避免工作階段遭到劫持
- 編碼工具:轉譯不同的加密和編碼標準
可付諸行動的補救和法規遵循報告
- 針對所有主要的法規標準執行法規遵循報告,包括PCI、SOX、ISO 和 HIPAA
- 配合企業需求,建立靈活、可延伸和可擴充的報告範本,簡化工作重覆性
- 掃描比較功能可針對兩次掃描所找到的漏洞進行差異分析比較,讓使用者可以看到補救的成效,以及監控是否有任何新漏洞產生。
重要整合
- 可以整合到缺失管理流程與 HP Application Lifecycle Management 及 Quality Center
- 整合企業應用安全管理流程與 HP WebInspect Enterprise 軟體
- 透過 XML 支援廣泛資料匯出,可與其他安全管理系統開放整合
- 透過與 ODBC、SQL 或 XML 資料庫連接,將外部資料來源的資訊納入報告中
HP Web SmartUpdate安全研究小組
由頂尖安全研究人員所組成的菁英團隊,致力於領導Web 應用漏洞的偵測和創新。不僅在 Web 應用漏洞評估方面提供最新的創新,同時透過 HP SmartUpdate,自動產生所有產品定期且及時更新。
WebInspect效益
- 節省軟體首次購買、維護(MA)成本
- 節省設備成本:無須另外準備硬體、機房設備
- 節省人力成本:無須專職人員管理工具、IT人員無須學習工具操作