针对动态代码评估强化sharepoint2013的指南:代码注入侵犯隐私:违反这一个曾经是我的噩梦时，穿着sharepoint架构师和农场管理员。浏览器侦察和撤退通过自适应压缩超文本(违反)攻击是一种站点通道攻击，它允许攻击者窃取通过ssl/tls启用的信道传输的http响应中包含的敏感信息。在internet上发现的建议之一是在两种类型的内容上禁用http压缩:动态和静态。至少我们知道这样做对sharepoint从业务功能角度来看没有影响，除了带宽和性能。打开web应用程序的nfig文件并添加以下行lt;system.webServergt;lt;urlCompressiondoStaticCompression=falsedoDynamicCompression=false/gt;lt;/system.webServergt;禁用http压缩不能有效地更改WebInspect的结果。在我的例子中，我打开了一张微软的支持票来得到他们的建议。幸运的是微软证实了这个平台没有漏洞，webinspect在线咨询，我能够回答我的客户。不安全部署:修补activexWebInspect检测到使用了activex对象。如果使用了microsoft活动模板的易受攻击的公共版本，则可能表示存在漏洞。visualstudio附带的microsoft活动模板库(atl)的公共版本中有三漏洞。仔细测试并应用操作系统安全更新(华克斯)不安全的应用程序页这实际上不是WebInspect能够达到的，但有时WebInspect可能无法访问应用程序页(如/viewlsts.aspx)来扫描目标网站集，即使启用了匿名访问也是如此。这是因为t是因为有限访问用户权限锁定模式功能被激huo。启用此功能后，受限访问权限级别(如匿名用户)的用户权限将减少，从而阻止对应用程序页的访问。运行以下powershell脚本禁用受限访问用户权限锁定模式功能SPFeature–Site华克斯SPFeatureviewformpageslockdown禁用-SPFeature美元a–url美元继续..。webinspect14HP帮助组织识别Web应用程序中的漏洞HPWebInspect可以复制和自动化现实世界中的攻击来保护应用程序伦敦-惠普今天宣布推出HPWebInspect14，这是一种独特的应用安全解决方案，通过指导性测试过程复制真实世界的攻击，webinspect功能介绍，使组织能够开发和提供安全的Web应用程序和Web服务。Web应用程序仍然是安全漏洞的重要来源。从2000年到2017年，六个最常报告的漏洞中有四个可以通过网络进行利用。（1）彻底的应用程序安全测试被证明可以在发生攻击之前防止攻击，但是许多组织缺乏实施安全测试流程的资源，工具和时间。没有适当的测试，这些Web应用程序可能会包含攻击者易于利用的漏洞。HPWebInspect14是一个自动化的，可配置的应用程序安全解决方案，可动态测试Web应用程序和Web服务，以快速准确地识别可利用的安全漏洞。使用HPWebInspect14.0，安全团队可以在开发过程的早期高xiao地管理测试结果并分发可执行的安全智能和补救指导。HPWebInspect14.0还通过使安全团队分享最jia实践来保护关键入口点免受攻击，从而改善安全应用程序开发。惠普Fortify的企业安全产品副总裁兼总经理MikeArmistead表示：“为了有效构建安全可靠的Web应用程序，组织需要考虑并测试发展中的关键威胁。“HPWebInspect14.0使客户能够在其安全工作中变得积极主动，而不是在发生攻击后对攻击做出反应，通过模拟攻击以及早发现漏洞并在发生之前防止破坏。HPWebInspect14.0包括新的引导式扫描，这是一种独特的交互式测试流程，基于正在申请专利的自适应组件识别技术，用于分析现代复杂的Web应用程序和JavaScript。引导式扫描引导新手用户和专业安全测试人员在测试配置难以排除故障的自定义环境中将测试适配到特定场景。这样可以更好地处理复杂的场景，例如检测代理错误配置或网络身份验证。HPWebInspect14产品：Weblnspect14强度：强大的扫描引擎。强大的功能集继续发展。WEAKNESSES：没有真正的企业能力开箱即用的更高的价格。VERDICT：一个包含广泛的功能和配置选项的顶jiWeb应用程序评估产品。HPWebInspect14（SPIDynamics现在是HPSoftware的一部分）是一种独立的Web应用程序测试产品。虽然WebInspect本身不是企业解决方案，但它可以轻松地集成到HP╒AMP架构中，以实现集中管理和报告功能。安装和激huo产品很容易，webinspect，管理员可以在几分钟内启动并运行。该产品在WindowsXPSP2或Windows2003上运行，webinspect技术支持，并使用MSSQLExpressSP1或2005作为数据库后端。管理仪表板导航简单，可以通过点击鼠标来实现在企业环境中配置和调度扫描的基本任务。虽然管理上产品易于管理，仪表板提供了易于理解的扫描视图，但WebInspect的真正功能在于动态和强大的扫描引擎。WebInspect完全支持Web2.0架构，并包括扫描AJAX，SOAP，Flash和其他新兴技术。虽然许多其他产品也测试类似的架构，但WebInspect可以发现的漏洞在我们的测试中是显而易见的，并且产品执行异常。我们发现分析优化是一个很好的功能，允许用户在执行扫描之前利用推荐的设置。该产品还提供了几个有用的工具，以及用于增强定制的合规性和策略管理编辑器。基于宏和重播的扫描选项是有帮助的。文档很有用，并且包含足够的文字和屏幕截图。报告是坚实的，涵盖许多有用的类别。但是，HP和SPIDynamics支持站点都包含一致性支持仍在进行中的声明。大多数支持和产品信息都包含在旧的SPIDynamics站点内。HPWebInspect14的价格为14万元。该产品包含标准支持，全天候支持可提供额外费用。鉴于许多同行提供相似的功能集，以降低成本，我们将考虑产品的价格高。华克斯-webinspect功能介绍-webinspect由苏州华克斯信息科技有限公司提供。华克斯-webinspect功能介绍-webinspect是苏州华克斯信息科技有限公司（）今年全新升级推出的，以上图片仅供参考，请您拨打本页面或图片上的联系电话，索取联系人：华克斯。)