AP 應用程式安全

鑑定 Web 網站應用和服務中易受攻擊的資安漏洞

資安智慧和風險管理 (SIRM) 平台正在改變企業資安的面貌。這套 SIRM 平台運用先進的威脅研究,加上能夠有效交叉比對資安事件和漏洞,功能之強大獨一無二。由於我們能夠針對客戶的業務關鍵流程和應用系統下,針對資安資產提供無可比擬的資安能見度,協助客戶管理風險並發揮資安投資的最大效益。 

透過提供許多互動的資訊,加快資訊安全腳步
WebInspect 不僅能夠找出需要防堵的資安漏洞,還可利用互動方式提供重現和解決問題所需的資安知識。透過與 Fortify 解決方案的合作以及與Quality Center 和  Application Lifecycle Management 整合,WebInspect 的頂尖知識庫可針對偵測到的漏洞提供完整的詳細說明、該漏洞遭受攻擊所會造成的影響,以及最佳實務和編碼範例,可以很快可以協助找出解決方案。

 

功能優勢

  • 創新評估技術
    • 先進的用戶端指令碼技術可分析 JavaScript、Flash 和其他技術
    • 透過同時爬網和稽核以及並行掃描,產生更快的掃描和更準確的結果
    • 先進的巨集錄製技術和彈性的驗證處理,改善了複雜應用中的工作階段管理
    • 利用設計來模擬駭客攻擊手法的智慧引擎,提升偵測準確度
    • 創新的應用架構分析工具有助於調整掃描組態,並可針對站台涵蓋範圍和準確度的改善提供建議
    • 採用清單式評估,可進行鎖定目標的高效率應用掃描
    • 使用智慧掃描技術辨識 Web 架構的指紋,減少不必要的攻擊
  • WebInspect Real-Time
    • 整合動態和即時分析,找出更多的漏洞並加快解決速度
    • 與 Fortify SecurityScope 搭配運作,可在動態掃描期間於程式碼層級觀察攻擊
    • 鑑別和深入應用,擴大攻擊表面的涵蓋範圍並偵測新型漏洞
    • 針對確認的漏洞,提供堆疊追蹤和程式碼行詳細資料
  • 互動式漏洞檢閱和管理功能
    • 將結果發佈至 Software Security Center,並迅速瞭解其在各次掃描之間的變化
    • 簡化漏洞檢閱流程,讓使用者能夠與測試結果互動
    • 靈活彈性的漏洞結果檢視,可將結果分組和篩選
    • 顯示重現漏洞和鑑別方式的詳細步驟
    • 重新執行一系列的步驟來對解決方式進行驗證或迴歸測試,以重新測試單一漏洞
    • 輸入手動偵測結果並將螢幕截圖和文件附加到測試結果,讓人一目瞭解,溝通無礙
    • 重新測試漏洞功能可重新測試先前偵測到的漏洞,並針對正確處理漏洞與否提供信心測度,大幅縮短補救驗證時間
    • 每次掃描的測試結果均可保留
  • 進階 Web 服務安全測試
    • 支援複雜的資料類型,可呈現進階 WSDL 以及指定測試資料
    • 自動偵測和稽核內嵌於應用中的 Web 服務
    • 焦點 Web 服務攻擊和模糊測試
    • 使用 Web 服務安全設計工具 (Web Service Security Designer) 可設定 Web 服務安全測試
  • 使用性提升,簡單易用
    • 使用基本組態即可快速起始簡單或迴歸掃描,立即取得結果
    • 利用直覺操作的精靈逐步設定掃描,數秒內就能開始看到結果
    • 透過標籤式介面,檢閱和控制多個同步掃描及報告
    • 只要按幾下滑鼠,即可將誤報報告和其他意見直接安全地送交給 HP
    • 建立可重複使用的元件化巨集來錄製測試步驟和登入程序
    • 使用自訂檢查精靈,迅速輕鬆地開發自訂攻擊和原則
  • 可付諸行動的補救和法規遵循報告
    • 針對所有主要的法規標準執行法規遵循報告,包括 PCI、SOX、ISO和 HIPAA
    • 配合企業需求,建立靈活、可延伸和可擴充的報告
    • 透過報告範本,簡化重複性的報告產生工作
    • 評估應用安全趨勢和整備度
    • 掃描比較功能可針對兩次掃描所找到的漏洞進行差異分析比較,讓使用者可以看到補救的成效,以及監控是否有任何新漏洞產生。
  • 重要整合
    • 可以整合到您的缺失管理流程,並可立即與 Application Lifecycle Management 及 Quality Center 進行整合
    • 整合到您的企業應用安全管理流程,並可立即與 WebInspect Enterprise 軟體進行整合
    • 透過 XML 支援廣泛資料匯出,可與其他安全管理系統開放整合
    • 透過與 ODBC、SQL 或 XML 資料庫連接,可將外部資料來源的資訊納入您的報告中
  • 提供滲透測試人員所需的進階工具 (Security Toolkit)
    • 報告設計工具:可讓您建立新報告或自訂 提供的報告、結合外部資料來源、編輯樣式以及建立自訂使用者輸入
    • SQL 載入工具:使用 SQL 插入漏洞來擷取整個資料庫
    • Cookie 壓縮工具:分析 Cookie 的強度,避免工作階段遭到劫持
    • 編碼工具:轉譯不同的加密和編碼標準

 

WebInspect會檢查是否有:

資料插入和操作攻擊

  • 反射式跨網站指令碼 (XSS)
  • 常駐型 XSS
  • DOM 型 XSS
  • 跨網站偽造要求
  • SQL 插入
  • 隱碼 SQL 插入
  • 緩衝區溢位
  • 整數溢位
  • 遠端檔案包含 (RFI) 插入
  • 伺服器端包含 (SSI) 插入
  • 作業系統指令插入
  • 本機檔案插入 (LFI)
  • 參數重新導向
  • 重新導向鏈結稽核

工作階段和驗證

  • 工作階段強度
  • 驗證攻擊
  • 驗證不足
  • 工作階段修復

伺服器和一般 HTTP

  • HTML5 分析
  • Ajax 稽核
  • Flash 分析
  • HTTP 標頭分析
  • 用戶端技術偵測
  • 安全通訊端層 (SSL) 憑證問題
  • 支援 SSL 通訊協定
  • 支援 SSL 加密
  • 伺服器錯誤組態
  • 目錄索引編製和列舉
  • 阻斷服務
  • HTTP 回應分割
  • Windows® 8.3 檔案名稱
  • DOS 裝置處理 DoS
  • 標準化攻擊
  • URL 重新導向攻擊
  • 密碼自動填入
  • Cookie 安全性
  • 自訂模糊測試
  • 路徑操作—周遊
  • 路徑截斷
  • WebDAV 稽核
  • Web 服務稽核
  • 檔案列舉
  • RESTful 服務稽核
  • 資訊外洩
  • 目錄和路徑周遊
  • 垃圾郵件閘道偵測
  • 強行驗證攻擊
  • 已知的應用和平台漏洞

 

相關連結

  • Webinspect 原廠 
  • 如您有需要本服務更進一步需求,請聯繫 Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它 或致電 02-2763-5800

聯絡我們