WebInspect
对任何人开放该漏洞名为 'hp WebInspect XXE 未经***的信息披露', 这是插件 84194,hp webinspect, 列出了解决方案作为升级到版本10.40.282.10 或更新。然而, ***xin版本的 hp WebInspect 是10.40.244.10。该程序中的智能更新功能不显示进一步的更新和升级到更高版本。
***初的咨询意见的措辞让我相信, 这一修补程序通常无法通过更新获得:决议
hp 提供了以下软件更新, 以解决hp WebInspect。
WebInspect 10.4 软件更新1。
注: 客户应联系 hp 强化技术支持, 以获得软件更新。
此外, 插件解决方案中的 '固定' 版本是由 hp WebInspect 的产品经理直接向我们报价的。 我们确实承认, 虽然描述和解决方案的信息是有点含糊, 所以我们将更新插件, 以使注意到,webinspect价格, 客户可能需要联系 hp 支持的固定版本。 此外, 如果您想了解漏洞是如何工作的, 以及如何设置一个将暴露该漏洞的 poc, 请与我联系, 在 wcarreer, 我会看看我们能做些什么。由于该漏洞的性质, XXE 缺陷的直接测试是不可能的, 因为它需要与软件进行特定的用户交互,webinspect中文版, 但是成立的研究确实验证了该缺陷是否存在于我们的实验室环境中。
WebInspect
产品的重新架构
SPI Dynamics的产品管理副总裁Erik Peterson说:“代码很少,代码也是一样的。” “这是一个巨大的进步,是行业的第yi。该产品的亮点之一是其智能引擎,可显着减少误报,多次同时扫描和复杂应用程序的状态维护,并允许更平滑的身份验证和更多的身份验证选项。
彼得森激动地对产品的开发发起了一个大型项目,这个项目是三年前开始的一个叫做凤凰城的项目。 “SPI Dynamics在应用程序的部署和使用方面看到了一个真正的变化,”彼得森说。 “我们意识到我们扫描仪的架构并不能跟上当今网络迅速变化的速度。”
扫描Web 2.0
凤凰队被指控重组公司的扫描仪。市场上的扫描仪是为更早,webinspect,更简单的应用程序而设计的,使其不适用于Web 2.0。
彼得森说:“自从开始以来,您在扫描仪上看到的爬网和审核过程一直与我们在一起。 “这种传统过程很难打开头脑,做出不同的改变。”
传统上,扫描程序会抓取应用程序,查找应用程序的资源并进行映射。然后根据爬网信息审核应用程序。使用WebInspect 7,应用程序将被抓取然后进行审核,但在审核期间,该工具将继续查找资源。该工具将继续抓取并审核该应用程序,直到发现和审核全部。 SPI Dynamics称这个过程是递归爬网和审计。
“通过这种方法,”我们现在有一种产品可以表现得更像人类,“彼得森说。他说,结果是真正详尽的扫描,假阴性少得多。
进行多次同时扫描的功能是WebInspect 7中的另一个有用功能。该工具可用于一次扫描两个站点,也可以扫描与不同用户相同的站点。这样做有助于检测特权升级等问题,并减轻扫描负载,彼得森说。考虑到一些用户在快速扩展的Web环境中每年进行数千次评估,同时多次扫描可以减少大量时间。
该功能还提供即时反馈。一个标签式用户界面让用户一次看到所有的扫描。
***管理引擎已经为WebInspect 7重建,防止意外无效的结果。即使对于更复杂的身份验证模式(如双因素和CAPTCHA),身份验证变得更加容易。
***安全功能
WebInspect的其他显着特性包括IPv6支持,易于使用的支持渠道和混合分析。
HPFortifyWebInspect混合分析
静态,动态和运行时刻分析相结合的安全测试
静动态安全测试关联分析
? 通过HP
WebInspect获得动态应用安全测试的结
果
? 通过HP
Fortify
SCA获得静态源代码安全测试的
结果
? 通过HP
WebInspect
Agent获得Web应用运行时刻
日志信息
主要的收益
? 提高安全性测试结果的关联性性
? 减少来解决安全问题的时间
? 按照优先级处理漏洞节省资源
版权所有©2025 产品网
