webinspect-hp webinspect-华克斯

WebInspect

对任何人开放该漏洞名为 'hp WebInspect XXE 未经***的信息披露'， 这是插件 84194，hp webinspect， 列出了解决方案作为升级到版本10.40.282.10 或更新。然而， ***xin版本的 hp WebInspect 是10.40.244.10。该程序中的智能更新功能不显示进一步的更新和升级到更高版本。

***初的咨询意见的措辞让我相信， 这一修补程序通常无法通过更新获得:决议

hp 提供了以下软件更新， 以解决hp WebInspect。

WebInspect 10.4 软件更新1。

注: 客户应联系 hp 强化技术支持， 以获得软件更新。

此外， 插件解决方案中的 '固定' 版本是由 hp WebInspect 的产品经理直接向我们报价的。 我们确实承认， 虽然描述和解决方案的信息是有点含糊， 所以我们将更新插件， 以使注意到，webinspect价格， 客户可能需要联系 hp 支持的固定版本。 此外， 如果您想了解漏洞是如何工作的， 以及如何设置一个将暴露该漏洞的 poc， 请与我联系， 在 wcarreer， 我会看看我们能做些什么。由于该漏洞的性质， XXE 缺陷的直接测试是不可能的， 因为它需要与软件进行特定的用户交互，webinspect中文版， 但是成立的研究确实验证了该缺陷是否存在于我们的实验室环境中。

WebInspect

产品的重新架构

SPI Dynamics的产品管理副总裁Erik Peterson说：“代码很少，代码也是一样的。” “这是一个巨大的进步，是行业的第yi。该产品的亮点之一是其智能引擎，可显着减少误报，多次同时扫描和复杂应用程序的状态维护，并允许更平滑的身份验证和更多的身份验证选项。

彼得森激动地对产品的开发发起了一个大型项目，这个项目是三年前开始的一个叫做凤凰城的项目。 “SPI Dynamics在应用程序的部署和使用方面看到了一个真正的变化，”彼得森说。 “我们意识到我们扫描仪的架构并不能跟上当今网络迅速变化的速度。”

扫描Web 2.0

凤凰队被指控重组公司的扫描仪。市场上的扫描仪是为更早，webinspect，更简单的应用程序而设计的，使其不适用于Web 2.0。

彼得森说：“自从开始以来，您在扫描仪上看到的爬网和审核过程一直与我们在一起。 “这种传统过程很难打开头脑，做出不同的改变。”

传统上，扫描程序会抓取应用程序，查找应用程序的资源并进行映射。然后根据爬网信息审核应用程序。使用WebInspect 7，应用程序将被抓取然后进行审核，但在审核期间，该工具将继续查找资源。该工具将继续抓取并审核该应用程序，直到发现和审核全部。 SPI Dynamics称这个过程是递归爬网和审计。

“通过这种方法，”我们现在有一种产品可以表现得更像人类，“彼得森说。他说，结果是真正详尽的扫描，假阴性少得多。

进行多次同时扫描的功能是WebInspect 7中的另一个有用功能。该工具可用于一次扫描两个站点，也可以扫描与不同用户相同的站点。这样做有助于检测特权升级等问题，并减轻扫描负载，彼得森说。考虑到一些用户在快速扩展的Web环境中每年进行数千次评估，同时多次扫描可以减少大量时间。

该功能还提供即时反馈。一个标签式用户界面让用户一次看到所有的扫描。

***管理引擎已经为WebInspect 7重建，防止意外无效的结果。即使对于更复杂的身份验证模式（如双因素和CAPTCHA），身份验证变得更加容易。

***安全功能

WebInspect的其他显着特性包括IPv6支持，易于使用的支持渠道和混合分析。

HPFortifyWebInspect混合分析

静态，动态和运行时刻分析相结合的安全测试

静动态安全测试关联分析

? 通过HP

WebInspect获得动态应用安全测试的结

果

? 通过HP

Fortify

SCA获得静态源代码安全测试的

结果

? 通过HP

WebInspect

Agent获得Web应用运行时刻

日志信息

主要的收益

? 提高安全性测试结果的关联性性

? 减少来解决安全问题的时间

? 按照优先级处理漏洞节省资源