WebInspect

扫码分享给我的朋友

WebInspect是建立在新兴的Web2.0技术基础上的，可以为当今复杂的网络应用程序执行网络应用安全测试和评估。WebInspect软件提供了快速扫描功能，覆盖范围广泛的安全评估和准确的网络应用程序安全性能扫描结果。

WebInspect软件能够识别由传统的扫描仪无法检测到的安全漏洞。随着评估技术的创新，通过同时抓取审计（SCA）和并行应用扫描，您可以得到快速而准确的Web应用程序自动安全测试和Web服务安全性测试。

主要功能：

-利用创新的评估技术检查 Web 服务及 Web 应用程序的安全；

-自动执行 Web 应用程序安全测试和评估；

-在整个生命周期中执行应用程序安全测试和协作；

-通过最先进的用户界面轻松运行交互式扫描；

-满足法律和规章符合性要求；

-利用高级工具 (HP Security Toolkit) 执行渗透测试；

-配置以支持任何 Web 应用程序环境。

抓取（crawl）与审计（audit）

WebInspect使用两个基本模式，以确定您的安全弱点：

1、WebInspect通过抓取的方式确定目标网站的结构。从本质上说，会遍历整个网站，直到没有更多URL可以访问。

2、审计是真正意义上的漏洞评估。当抓取和审计合并为一个功能时，我们称之为扫描。

报告

通过 WebInspect报告，可以获得有价值的、组织好的应用信息。您可以自定义报告的细节，决定在每一份报告中包含什么级别的信息，并为特定受众生成报告。您也可以将任意自定义的报告保存为模板，以便日后使用更新的信息数据生成此类的报告。您可以使用PDF或HTML格式储存报告，也可以在报告中包括漏洞数据的图形摘要信息。

手动攻击控制

通过 WebInspect ，您可以模拟真实的攻击环境，并看到您网站上所发生的一切。 WebInspect功能让您可以查看包含漏洞的任意网页代码，然后修改服务器请求，并重新发布。当使用Web代理工具，如果Web Proxy从客户端收到一个请求，从服务器端收到一个响应，或者找到满足您制定的搜索规则的文本时，您都可以暂停客户端服务器的数据流。

汇总和修复

WebInspect对在扫描过程中发现的所有漏洞进行汇总，并提供相应的补救信息，包括参考材料，补丁的链接，防止再出现类似问题的指导，以及漏洞的解决方案。一旦确认了新的攻击和漏洞，我们将更新我们的汇总和修复信息数据库。使用WebInspect工具栏上的SmartUpdate，用最新的漏洞解决方案信息更新您的数据库。

扫描策略

您可以修改和自定义扫描策略，以满足您的组织的要求，减少WebInspect完成全部扫描所花费的时间。

可排序和定制的视图

当您进行扫描或查看一个扫描时，在WebInspect窗口左边的导航窗格中包括网站、序列、搜索和步骤模式按钮，这些按钮决定了导航窗格中显示的内容（或“视图”）。

• 序列视图根据WebInspect自动评估或手动抓取（步骤模式）的结果顺序，显示服务器资源。

• 搜索视图可以让您找到满足您指定的条件的会话。

• 站点视图展现WebInspect检测到的所扫描网站的文件层次结构。

• 步骤模式用来手动浏览网站，起始点为您从网站视图或序列视图中选择的会话。

整个企业范围内的应用能力

综合的评估过程从整体企业的角度为您的Web状态提供了一个全面的概览，让您能够有选择地，对网络上所有基于Web的应用进行单独的或计划的应用评估。

Web服务评估

WebInspect提供针对您Web服务漏洞的全面的评估，通过WebInspect，您可以评估包含Web服务/SOAP 对象的应用系统。

导出向导

通过WebInspect的可配置的XML导出工具，用户能够以一种标准化的XML格式导出扫描过程中发现的所有信息，包括注释、隐藏的域、 JavaScript、Cookie、Web窗体、URL、请求和会话。用户可以指定要导出信息的类型。

工具

在WebInspect中打包了一系列诊断和渗透测试工具，包括：

• Compliance Manager

• Cookie Cruncher

• Encoder/Decoder

• HTTP Editor

• Log Viewer

• Policy Manager

• Regular Expression Editor

• Server Analyzer

• Server Profiler

• SOAP Editor

• SQL Injector

• Web Brute

• Web Discovery

• Web Form Editor

• Web Fuzzer

• Web Macro Recorder

• Web Proxy