上期直播我们为大家详细介绍了渗透测试的前渗透阶段,通过前期的工作,我们已经确定好要渗透的目标。接下来可以通过选择使用扫描工具进行漏扫,这样可以极大提高我们的工作效率。
一款好用的漏扫工具必须要具备的“准”、“快”、“全”这些基本要素。“准”指的是漏洞的定位要准确,如果一款工具的误报率很高,那必将大大增加我们的工作量。“快”是说一定要能够快速发现漏洞、工具的策略要能够实时更新以满足不断变化的威胁。“全”指的是一定要能够覆盖足够全面的漏洞,支持足够多的技术和框架。只有满足了以上这几个特点,我们用起来才会比较称手。
今天就为大家详细介绍一款黑盒测试工具——WebInspect,它也是原先属于HP旗下的产品,后经Micro Focus收购,成为众多世界500强企业的选择。那么它究竟有哪些“过人之处”?
WebInspect 是一款全面的动态应用程序扫描程序,它能够对所有漏洞类别执行全面审计。它可以模拟来自真实环境的攻击行为,来检测漏洞,快速归纳出漏洞类型,并给出优先级排序和修复建议。通过灵活的集成满足企业的DevOps和扩展需求,可以实时监控态势,确认修正,跟踪指标、趋势和进度。
某医疗网络机构拥有全国绝大多数医疗信息,包括药店、医院、实验室等其他医疗组织,在其多年的发展过程中,通过收购、外包等方式构建了庞大的代码系统,编程语言、环境和标准非常复杂,开发人员很难通过凭借自己的能力去识别漏洞,他们先是通过使用开源安全测试工具进行扫描,工具包含的安全规则比较少,误报率比较高,让开发人员非常头疼。
与此同时,为保障用户信息的安全性,此机构被要求定期进行安全评估,由于没有一个集中的储存库来存储和访问这些报告,这就变成一个十分耗时的过程。
借助WebInspect,该机构决定实施一个可跨越整个软件开发生命周期的全面的软件安全保障计划。借助REST API,该机构搭建了可以自动运行测试的环境,开发人员可以提交测试申请,然后通过自动化的流程进行测试。WebInspect保证了开发人员可以快速测试和调整,网络漏洞出现的几率大幅减少。
值得一提的是,当一个误报事件出现时,开发人员可以通过WebInspect的建议很轻松地解决,并在未来的评估中避免它再次出现。误报率也大大降低,节省了宝贵的时间和资源。
产品特点:
1、全面、准确的动态扫描器
无缝爬墙现代框架的 Web 技术,显示 Web 应用程序可攻击性和 Web 服务器漏洞。
2、合规性管理
预配置了政策和报告,适用于所有与 Web 应用程序安全相关的主要合规性条款,包括 PCI DSS、DISA STIG、NIST 800-53、ISO 27K、OWASP 和 HIPPA。
3、权威详细的扫描结果
可提供更多详细信息供开发人员快速修复漏洞,全球领先的软件安全研究团队将前沿研究转换为安全指南,为漏洞修复提供权威指引。
4、可在本地或云端使用或混合使用
在本地或云端开始使用,并可根据业务需求扩展。集中管理本地和云端程序。
5、管理企业应用安全风险
管理应用安全风险,创建修复和管理监督报告。在应用中监控趋势,对漏洞采取措施。
6、自动化和企业工作流程集成
全自动化解决方案,满足企业的 DevOps 和扩展性需求。
道普云与Micro Focus战略合作,将WebInspect进行了SaaS化的改造,用户可以按需租用,灵活扩展,大大降低工具的使用成本,成本低至千元。点击官网首页产品试用按钮,可立即申请免费试用,马上感受工具可以带给你的高速和便捷!