Webinspect

下一代Web扫描

WebInspect软件是一款行业领先的web应用安全评估软件。WebInspect解决了复杂的Web 2.0问题，且能找到传统扫描程序无法发现的漏洞。WebInspect支持如今最复杂的Web应用技术，由于采用了突破性自动检测技术(包括SCA-Simultaneous Crawl and Audit和同步应用扫描)，所以可以迅速、准确地发现Web应用的安全漏洞。

发现web应用与服务中的安全漏洞

WebInspect是一款易用、可扩展、精确的Web应用安全评估软件，能帮助专业安全人员和入门者查找与发现web应用和服务中存在的高风险安全漏洞。

支持最复杂的环境

大多数应用扫描程序面向原有的web技术，无法自动扫描使用Ajax、SOAP、JavaScript和Flash技术开发的新型Web 2.0应用。而WebInspect能对如今的web应用技术，包括使用双重身份鉴定及其它改进技术的内容丰富的网站进行分析。其架构支持WebInspect查看整个应用，减少漏报(false negative)现象。

支持的法律法规

WebInspect会提供关于如何更改web应用，以达到法规标准的详细报告。此外，您还可以使用Policy andCompliance Editor创建新策略或定制现有策略。WebInspect支持20多项法律、法规和最佳实践，其中包括：

• 《萨班斯·奥克斯利法案》(SOX)

• California SB 1386

• 《金融服务现代化法案》(GLBA)

• 《医疗保险便携性及责任法案》(HIPAA)

• ISO 17799

• 支付卡行业(PCI)数据安全标准(DSS)规定

• OWASP Top Ten

企业安全评估

WebInspect可以和Assessment ManagementPlatform软件集成，能对整个企业进行分散式评估。Assessment Management Platform具有可扩展特性，能对用户权限、安全策略和远程扫描管理实施集中控制，可全面了解整个组织的应用安全状态。此外，WebInspect还能将漏洞直接提交给Quality Center软件，为开发和质量保证(QA)团队查找、管理和修复安全缺陷以及其它应用缺陷提供帮助。

应用生命周期安全评估方式

WebInspect是Application Security Center的一个组件，其包含的产品与服务能查找到web应用生命周期内的安全漏洞并进行修复。Application Security Center软件促进了开发人员、质量管理检测人员和专业安全人员之间的协作，减少了风险，以及查找生产安全缺陷的费用。在应用付诸生产前发现漏洞，预防应用在生命周期内出现新漏洞，从而制造出安全可靠的应用。

主要特性和优势

创新的评估技术

• 通过综合性应用扫描和审计流程加快扫描速度，获取更准确的结果

• 使用专门面向今天复杂应用的扫描技术减少漏报现象，拓展扫描范围

• 同时执行多个扫描增加检测量

• 输入URL、用户名和密码立即启动简单的扫描程序，快速获取扫描结果

• 使用双重身份鉴定或CAPTCHA等先进技术简化复杂的应用验证程序

• 使用扫描模型(scan profiler)分析应用，获取扫描配置设置建议，以提高扫描的效力和准确性

先进的用户界面

• 评估开始数秒钟之后就能查看扫描结果

• 通过标签式界面(tabbed interface)查看和控制多个扫描进程和报告

• 轻点鼠标即可直接向原厂提交误报报告及其它反馈信息

• 利用一个易用的界面对扫描过程施加影响

• 创建宏以记录检测步骤，实现重复性检测的自动化

• 使用自定义检查向导快速进行检查

详细报告和法规遵从

• 高级管理报告可显示企业安全状态的快照

• 定制报告，为开发和质量管理人员修复安全缺陷提供帮助

• 使用扫描数据运行支持所有主要法规标准(包括PCI、SOX和HIPAA)的法规遵从报告

• 通过趋势分析和安全就绪报告对应用未来的安全状态进行预测

WebInspect的适用范围：数据注入和操作攻击

• Reflected XSS

• Persistent XSS

• 跨站请求伪造

• SQL注入

• SQL盲注

• 缓冲器溢出

• 整数溢出

• Log注入

• 远程文件包含(RFI)注入

• 服务器端包含(SSI)注入

• 操作系统命令注入

• 本地文件包含(LFI)

服务器与通用HTTP

• 安全套接层(SSL)证书问题

• 支持SSL协议

• 支持SSL密码

• 服务器配置不当

• 目录索引与列举

• 服务拒绝

• HTTP响应拆分

• Windows 8.3文件名

• DOS驱动程序安装处理

  DoS(DOS device handle DoS)

• 标准化攻击

• URL改道攻击

• 密码自动完成

• Cookie安全

• 自定义模糊

• 路径操纵－穿越

• 路径截断(Path truncation)

• Ajax审计

• WebDAV审计

• Web服务审计

• 文件列举

• 信息泄露

• 目录与路径穿越

• 垃圾邮件网关检测

• 强力验证攻击

• 已知应用与平台漏洞

渗透检测高级工具(Security Toolkit)

• SQL injector：使用SQL注入漏洞提取数据库的内容

• Cookie cruncher：分析cookie的优点，以避免会话劫持

• 编码器：解密加密方式和编码标准

• HTTP编辑器：创建和编辑原始HTTP请求

• Regex编辑器：检测并建立正则表达式( regular expression)

• SOAP编辑器：生成和编辑原始web服务请求

• Web Fuzzer：使用HTTP模糊检测或修改输入变量发现缓冲器溢出

• Web代理：浏览网站时查看每个请求和服务器响应

• WebBrute：检测登录表的优点或web和代理验证系统

• WebDiscovery：查找端口后的web服务器及web应用

• 服务器分析器：确定web服务器或设备，进行深入的SSL分析

• 流量统计(Traffic monitor)：监视扫描与审计过程中发出的所有HTTP请求和响应

技术规格

• 1 GB内存

• 2 GB可用磁盘空间

• 主动互联网连接(用于更新)

• 1.5 GHz或速度更快的处理器

• Microsoft Internet Explorer 6.0或7.0版

• Microsoft .NET 2.0或3.0

• Windows? XP Professional SP2、Windows Server 2003 Standard SP1、Windows Vista®

• SQL Server 2005或SQL Server Express SP1

• Adobe Reader 7或更高版本(用于阅读.pdf格式的报告)

• 屏幕最低分辩率为1024 x 768 (为优化显示性能，建议采用1280 x 1024的分辩率)