WebInspect使用手册.docx

Webinspect简介及使用 一．Webinspect简介 主要功能介绍: 利用创新的评估技术检查 Web 服务及 Web 应用程序的安全 自动执行 Web 应用程序 HYPERLINK /view/105783.htm \t _blank 安全测试和评估 在整个生命周期中执行应用程序安全测试和协作 通过最先进的用户界面轻松运行交互式扫描 利用高级工具 (HP Security Toolkit) 执行 HYPERLINK /view/1139765.htm \t _blank 渗透测试 配置以支持任何 Web 应用程序环境 概述： 在发现成熟 Web 技术中的 HYPERLINK /view/93544.htm \t _blank 漏洞方面，传统应用程序扫描程序表现得也很好，但是它们在扫描更新的 Web 2.0 技术时常常缺乏足够的智能性。 目前，许多复杂的 Web 应用程序全都基于新兴的 Web 2.0 技术，HP WebInspect 可以对这些应用程序执行 Web 应用程序安全测试和评估。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的 Web 应用程序安全扫描结果。 它可以识别很多传统扫描程序检测不到的 HYPERLINK /view/160026.htm \t _blank 安全漏洞。利用创新的评估技术，例如同步扫描和审核 (simultaneous crawl and audit, SCA) 及并发应用程序扫描，您可以快速而准确地自动执行 Web 应用程序 HYPERLINK /view/105783.htm \t _blank 安全测试和 Web 服务安全测试。 WebInspect是最准确和全面的自动化的Web应用程序和Web服务漏洞评估解决方案。使用 WebInspect，安全专业人员和规范审计人员可以在自己的环境中快速而轻松地分析众多的Web应用和Web服务。WebInspect是唯一的一款 由世界领先的Web安全专家每日维护和更新的产品。这些解决方案专门为评估潜在的 HYPERLINK /view/160026.htm \t _blank 安全漏洞而设计，并提供所有修复这些漏洞所需要的资讯。 WebInspect带来了最新的评估技术，能够适应任何企业环境的Web应用安全产品。当您开始进行漏洞评估 时，WebInspect的“评估代理” （assessment agent）能够对Web应用的所有区域进行分析。当这些代理（agent）完成评估后，所有的发现结果都自动??总给一个核心的安全引擎，进行结果分析。 之后，WebInspect启动审计引擎，评估所收集的信息，并运用攻击算法查找漏洞，并确定其严重程度。通过上述的途径，WebInspect能够持续 地使用适当的评估资源，以适应您的具体应用环境。 二．Webinspect使用方法 扫描一个Web站点1.在WebInspect软件的home选项卡，单击“Start a Web Site Assessment”。(开始一个web站点评价)? 2.在Start URL框中，输入或选择你想检查站点的完整URL或IP地址。? 3.如果您需要包括其他服务器，请单击“Allowed hosts”来访问允许主机设置。? 4.选择“Profile the server to optimize scan settings”(配置服务器来优化扫描设置)来对一个网站进行初步审查，以确定是否需要修改WebInspect软件的设置。? 5.如果您选择“Restrict to folder”(限制文件夹)，您可以将评估范围限定到你从下拉列表选择的区域中去。? 6.WebInspect软件，默认情况下，将扫描结果保存在一个以你在“Start URL”框中输入的URL或IP地址来命名的文件中。假如想使用不同的名称，请修改“Scan Description”(扫描描述)。? 7.在“Assessment Method”(评价方法)组，选择“Automated”(自动化)。? 8.展开“Scan Options”(扫描选项)面板，然后选择一个自动方法：a. Crawl and audit (Simultaneously)(抓取和审计（同时）)：由于WebInspect软件绘制了网站的层次数据结构，它审计每个资源（网页），因为它是被发现的（而不是抓取了整个网站之后，再进行一次审计）。对于非常大的网站，此选项是最有用的，因为在这边抓取可能还没全部完成，内容可能已经改变了。备注：也就是说抓取的同时，同步进行审计(检查)b. Crawl and audit (Sequent