软件说明
主要功能:
-利用创新的评估技术检查 Web 服务及 Web 应用程序的安全;
-自动执行 Web 应用程序安全测试和评估;
-在整个生命周期中执行应用程序安全测试和协作;
-通过更先进的用户界面轻松运行交互式扫描;
-满足法律和规章符合性要求;
-利用高级工具 (HP Security Toolkit) 执行渗透测试;
-配置以支持任何 Web 应用程序环境。
抓取(crawl)与审计(audit)
WebInspect使用两个基本模式,以确定您的安全弱点:1、WebInspect通过抓取的方式确定目标网站的结构。从本质上说,会遍历整个网站,直到没有更多URL可以访问。
2、审计是真正意义上的漏洞评估。当抓取和审计合并为一个功能时,我们称之为扫描。
报告
通过 WebInspect报告,可以获得有价值的、组织好的应用信息。您可以自定义报告的细节,决定在每一份报告中包含什么级别的信息,并为特定受众生成报告。您也可以将任意自定义的报告保存为模板,以便日后使用更新的信息数据生成此类的报告。您可以使用PDF或HTML格式储存报告,也可以在报告中包括漏洞数据的图形摘要信息。
手动攻击控制
通过 WebInspect ,您可以模拟真实的攻击环境,并看到您网站上所发生的一切。 WebInspect功能让您可以查看包含漏洞的任意网页代码,然后修改服务器请求,并重新发布。当使用Web代理工具,如果Web Proxy从客户端收到一个请求,从服务器端收到一个响应,或者找到满足您制定的搜索规则的文本时,您都可以暂停客户端服务器的数据流。
汇总和修复
WebInspect对在扫描过程中发现的所有漏洞进行汇总,并提供相应的补救信息,包括参考材料,补丁的链接,防止再出现类似问题的指导,以及漏洞的解决方案。一旦确认了新的攻击和漏洞,我们将更新我们的汇总和修复信息数据库。使用WebInspect工具栏上的SmartUpdate,用更新的漏洞解决方案信息更新您的数据库。
扫描策略
您可以修改和自定义扫描策略,以满足您的组织的要求,减少WebInspect完成全部扫描所花费的时间。
可排序和定制的视图
当您进行扫描或查看一个扫描时,在WebInspect窗口左边的导航窗格中包括网站、序列、搜索和步骤模式按钮,这些按钮决定了导航窗格中显示的内容(或 视图 )。
• 序列视图根据WebInspect自动评估或手动抓取(步骤模式)的结果顺序,显示服务器资源。• 搜索视图可以让您找到满足您指定的条件的会话。• 站点视图展现WebInspect检测到的所扫描网站的文件层次结构。• 步骤模式用来手动浏览网站,起始点为您从网站视图或序列视图中选择的会话。
整个企业范围内的应用能力
综合的评估过程从整体企业的角度为您的Web状态提供了一个全面的概览,让您能够有选择地,对网络上所有基于Web的应用进行单独的或计划的应用评估。
Web服务评估
WebInspect提供针对您Web服务漏洞的全面的评估,通过WebInspect,您可以评估包含Web服务/SOAP 对象的应用系统。
导出向导
通过WebInspect的可配置的XML导出工具,用户能够以一种标准化的XML格式导出扫描过程中发现的所有信息,包括注释、隐藏的域、 JavaScript、Cookie、Web窗体、URL、请求和会话。用户可以指定要导出信息的类型。
工具
在WebInspect中打包了一系列诊断和渗透测试工具,包括:• Compliance Manager• Cookie Cruncher• Encoder/Decoder• HTTP Editor• Log Viewer• Policy Manager• Regular Expression Editor• Server Analyzer• Server Profiler• SOAP Editor• SQL Injector• Web Brute• Web Discovery• Web Form Editor• Web Fuzzer• Web Macro Recorder• Web Proxy