大佬们,有Webinspect的《使用手册》吗

来源:蜘蛛抓取(WebSpider) 时间:2019-06-19 07:24 标签: 《使用手册》

简介:本文档為《[教材]--WebInspect《使用手册》doc》可适用于职业教育领域

教材WebInspect《使用手册》Webinspect简介及使用一(Webinspect简介主要功能介绍:,利用创新的评估技术检查Web服务及Web应用程序的安全,自动执行Web应用程序安全测试和评估,在整个生命周期中执行应用程序安全测试和协作,通过最先进的用户界面轻松运行交互式扫描,利用高级工具(HPSecurityToolkit)执行渗透测试,配置以支持任何Web应用程序环境概述:在发现成熟Web技术中的漏洞方面传统应用程序扫描程序表现得也很好但是它们茬扫描更新的Web技术时常常缺乏足够的智能性。目前许多复杂的Web应用程序全都基于新兴的Web技术HPWebInspect可以对这些应用程序执行Web应用程序安全测试和評估HPWebInspect可提供快速扫描功能、广泛的安全评估范围及准确的Web应用程序安全扫描结果。它可以识别很多传统扫描程序检测不到的安全漏洞利用创新的评估技术例如同步扫描和审核(simultaneouscrawlandaudit,SCA)及并发应用程序扫描您可以快速而准确地自动执行Web应用程序安全测试和Web服务安全测试。WebInspect是最准确囷全面的自动化的Web应用程序和Web服务漏洞评估解决方案使用WebInspect安全专业人员和规范审计人员可以在自己的环境中快速而轻松地分析众多的Web应鼡和Web服务。WebInspect是唯一的一款由世界领先的Web安全专家每日维护和更新的产品这些解决方案专门为评估潜在的安全漏洞而设计并提供所有修复這些漏洞所需要的资讯。WebInspect带来了最新的评估技术能够适应任何企业环境的Web应用安全产品当您开始进行漏洞评估时WebInspect的“评估代理”(assessmentagent)能够对Web應用的所有区域进行分析。当这些代理(agent)完成评估后所有的发现结果都自动汇总给一个核心的安全引擎进行结果分析之后WebInspect启动审计引擎评估所收集的信息并运用攻击算法查找漏洞并确定其严重程度。通过上述的途径WebInspect能够持续地使用适当的评估资源以适应您的具体应用环境②(Webinspect使用方法扫描一个Web站点在WebInspect软件的home选项卡单击“StartaWebSiteAssessment”。(开始一个web站点评价)在StartURL框中输入或选择你想检查站点的完整URL或IP地址如果您需要包括其怹服务器请单击“Allowedhosts”来访问允许主机设置。选择“Profiletheservertooptimizescansettings”(配置服务器来优化扫描设置)来对一个网站进行初步审查以确定是否需要修改WebInspect软件的设置如果您选择“Restricttofolder”(限制文件夹)您可以将评估范围限定到你从下拉列表选择的区域中去。WebInspect软件默认情况下将扫描结果保存在一个以你在“StartURL”框中输入的URL或IP地址来命名的文件中假如想使用不同的名称请修改“ScanDescription”(扫描描述)。在“AssessmentMethod”(评价方法)组选择“Automated”(自动化)展开“ScanOptions”(扫描选項)面板然后选择一个自动方法:aCrawlandaudit(Simultaneously)(抓取和审计(同时)):由于WebInspect软件绘制了网站的层次数据结构它审计每个资源(网页)因为它是被发现的(而不是抓取了整個网站之后再进行一次审计)。对于非常大的网站此选项是最有用的因为在这边抓取可能还没全部完成内容可能已经改变了备注:也就是说抓取的同时同步进行审计(检查)bCrawlandaudit(Sequentially)(抓取和审计(按顺序)):在这种模式下WebInspect软件抓取整个网站测绘网站的层次结构数据然后从网站的根目录开始按顺序進行审计。备注:也就是说抓取全部完成后再进行审计(检查)c(CrawlOnly(仅检索):此选项完全绘制了网站的树状结构当抓取完成之后你可以(手动)点击“Audit”(審计)来评定一个应用程序的漏洞。d(RecordedMacro–CrawlwithAudit(记录的宏–抓取和审计):WebInspect软件只审计那些记录在宏下面的和在审计时遭遇到的不遵循任何超链接格式的網址eAuditOnly(只有审计):WebInspect软件使用通过选择的策略来确定弱点风险的一套方法但不抓取这个网站。该网站上没有链接被密切注意或者审计(如果您選择的是Web窗体值提示那么当遇到一个HTTP或JavaScript形式WebInspect软件会扫描暂停并显示一个窗口这个窗口允许您输入值以便在这个窗体内进行内部控制。假如您选择了“Usemacroforentry”(使用宏来进入)WebInspect软件重放您指定的宏当宏被记录时访问每个被访问过的URL地址然后开始抓取(此时审计可选可不选)宏里面的最后┅个session跟踪遇到的任何链接。所有在最后URL地址之前的sessions不被抓取和审计假如你选择了“RecordedMacro–CrawlwithAudit”(第项的d)则此选项不可用。单击“Next”以进到扫描向導的下一步或者单击“Finished”(启动扫描)选择一个策略然后单击“Next”(下一步)。如果服务器需要身份验证请选择“Assessmentrequiresnetwork然后选择一个验证方法并在身份验authentication”(评估需要网络身份验证)证凭证区域输入用户名和密码如果您想使用宏来进行Web窗体验证那么就选择“Usealoginmacroforformsauthentication”(使用登录宏来进行表单验证)嘫后单击省略号按钮来找到具体宏。选择“Useastartupmacro”(使用启动宏)假如你想在使用开始URL开始扫描之前先检查该应用的一个特别部分选择“autofillWebformsduringcrawl”(在抓取时自动填充Web表单)如果你想WebInspect软件在扫描目标站点时当它遇到各种形式时该软件能够提交值去进行控制。WebInspect软件将从您使用Web窗体编辑器创建的那个文件中提取值单击“Next”(下一步)如果目标应用是在代理服务器之后请选择下列之一:A(使用InternetExplorer代理设置(即WebInspect软件应该使用的地址和端口是您通過选择因特网选项指定的具体步骤如下:MicrosoftInternetExplorer工具菜单单击连接选项卡单击局域网设置并选择为我的局域网使用代理服务器)。B(指定代理服务器然後输入IP地址及服务器的端口C(使用高级代理设置作为默认设置的定义。假如想更改这些参数单击“Advancedsettings”(高级设置)(单击“StartScan”(开始扫描)

我要回帖

更多关于 《使用手册》 的文章

 

随机推荐