HP WebInspect 软件 产品说明 HP WebInspect 软件是一款 web 应用安全评估软件， 其可对如今复杂的web 应用进行全面的分析。这款软件 覆盖广泛的安全评估内容，具有快速扫描功能且能提供 准确的Web 应用扫描结果。 下一代web 应用扫描 HP WebInspect 软件是一款行业领先的web 应用安全评估 软件。HP WebInspect 解决了复杂的 Web 2.0 问题，且 能找到传统扫描程序无法发现的漏洞。HP WebInspect 支 持如今最复杂的Web 应用技术，由于采用了突破性自动 检测技术(包括SCA-Simultaneous Crawl and Audit 和同步 应用扫描)，所以可以迅速、准确地发现Web 应用的安全 漏洞。 发现web 应用与服务中的安全漏洞 HP WebInspect 是一款易用、可扩展、精确的Web 应用 安全评估软件，能帮助专业安全人员和入门者查找与 发现web 应用和服务中存在的高风险安全漏洞。 支持最复杂的环境 大多数应用扫描程序面向原有的 web 技术，无法自动扫 描使用Ajax、SOAP、JavaScript 和Flash 技术开发的新型 Web 2.0 应用。而HP WebInspect 能对如今的web 应用 技术，包括使用双重身份鉴定及其它改进技术的内容 丰富的网站进行分析。其架构支持 HP WebInspect 查看 整个应用，减少漏报(false negative)现象。 支持的法律法规 HP WebInspect 会提供关于如何更改 web 应用，以达到 法规标准的详细报告。此外，您还可以使用 Policy and Compliance Editor 创建新策略或定制现有策略。HP WebInspect 支持 20 多项法律、法规和最佳实践，其中 包括： 1 

快速分析应用与web 服务 通过有向导指导的直观界面，您可以指定要分析的应用或web 服务。此外，您还可以选择评估类型以及评估web 应用的安全策略。 •《萨班斯·奥克斯利法案》(SOX) • California SB 1386 •《金融服务现代化法案》(GLBA) •《医疗保险便携性及责任法案》(HIPAA) • ISO 17799 • 支付卡行业(PCI)数据安全标准(DSS)规定 • OWASP Top Ten 企业安全评估 HP WebInspect 可以和 HP Assessment Management Platform 软件集成，能对整个企业进行分散式评估。HP Assessment Management Platform 具有可扩展特性，能对 用户权限、安全策略和远程扫描管理实施集中控制，可 全 面 了 解 整 个 组 织 的 应 用 安 全 状 态 。 此 外 ， H P WebInspect 还能将漏洞直接提交给 HP Quality Center 软件，为开发和质量保证(QA)团队查找、管理和修复安 全缺陷以及其它应用缺陷提供帮助。 降低组织风险 HP WebInspect 能利用全面、先进的web 应用评估方式侦 测安全漏洞。其采用同步扫描与审计和智能引擎等突破 性创新技术，提高了扫描结果的准确性。 同步扫描与审计将应用扫描与审计阶段整合到一个流程 中。另外，因为根据实时审计结论对扫描进行了过滤， 所以有助于了解 web 应用攻击的整体情况。智能引擎采 用结构化、逻辑方式分析应用，然后再根据应用行为与 环境定制攻击信息。HP WebInspect 对这些先进的突破性 评估技术与漏洞数据库中常见的 web 应用漏洞进行了 整合。 另外，您还能同时启动和管理多个扫描进程，大大增加 了检测量。这项扫描技术及其对现在 web 应用的支持， 可对 web 应用的安全漏洞进行快速评估，并提供准确的 评估结论。 节约时间 HP WebInspect 配置方便，易于使用。无需安装服务器端 即可进行远程 web 应用评估。利用其向导界面，您可以 开展全自动 web 应用评估，并在整个评估过程中利用 手动方式与其互动。高级用户可利用命令行界面进行扫 描。 为您的环境量身定制 HP WebInspect 支持您对产品的功能进行扩展，以满足组 织的特定需求。您可以对 HP WebInspect 进行配置，使 其适应各种 web 应用环境，使用自定义检查向导创建自 定义攻击。策略管理器(policy manager)允许您在不同的 检查层次(check level)中选择和配置攻击。 2 

随时查看扫描结果 您可以通过高级用户界面查看扫描过程，开展互动。您可以随时停止扫描进程对某个问题进行研究，或重新启动扫描程序对特定区域进行重点扫描。 利用精确的报告提升您的影响 HP WebInspect 包括多种能体现组织安全状态的预置报 告，如C-level 趋势报告、详细的开发报告及合规/违规报 告等。此外，HP WebInspect 还允许您编辑报告，添加自 定义注释或详细信息。HP WebInspect 报告中包含的数据 能以各种标准格式(如XML、HTML 和PDF 格式)导出。 • 输入 URL、用户名和密码立即启动简单的扫描程序， 快速获取扫描结果 • 使用双重身份鉴定或CAPTCHA 等先进技术简化复杂的 应用验证程序 • 使用扫描模型(scan profiler)分析应用，获取扫描配置 设置建议，以提高扫描的效力和准确性 应用生命周期安全评估方式 HP WebInspect 是HP Application Security Center 的一个 组件，其包含的产品与服务能查找到 web 应用生命周期 内的安全漏洞并进行修复。HP Application Security Center 软件促进了开发人员、质量管理检测人员和专业安全人 员之间的协作，减少了风险，以及查找生产安全缺陷的 费用。在应用付诸生产前发现漏洞，预防应用在生命周 期内出现新漏洞，从而制造出安全可靠的应用。 主要特性和优势 创新的评估技术 • 通过综合性应用扫描和审计流程加快扫描速度，获取 更准确的结果 先进的用户界面 • 评估开始数秒钟之后就能查看扫描结果 • 通过标签式界面(tabbed interface)查看和控制多个扫描 进程和报告 • 轻点鼠标即可直接向惠普提交误报报告及其它反馈 信息 • 利用一个易用的界面对扫描过程施加影响 • 创建宏以记录检测步骤，实现重复性检测的自动化 • 使用自定义检查向导快速进行检查 详细报告和法规遵从 • 高级管理报告可显示企业安全状态的快照 • 使用专门面向今天复杂应用的扫描技术减少漏报现象， • 定制报告，为开发和质量管理人员修复安全缺陷提供 拓展扫描范围 帮助 • 同时执行多个扫描增加检测量 • 使用扫描数据运行支持所有主要法规标准(包括 PCI、 SOX 和HIPAA)的法规遵从报告 • 通过趋势分析和安全就绪报告对应用未来的安全状态 进行预测 3 

HP WebInspect 的适用范围：数据 注入和操作攻击 • Reflected XSS • Persistent XSS • 跨站请求伪造 • SQL 注入 • SQL 盲注 • 缓冲器溢出 • 整数溢出 • Log 注入 • 远程文件包含(RFI)注入 • 服务器端包含(SSI)注入 • 操作系统命令注入 • 本地文件包含(LFI) 会话与验证 • 会话强度 • 验证攻击(Authentication attack) • 验证不充分 • 会话有效期短(insufficient session expiration) 服务器与通用HTTP • 安全套接层(SSL)证书问题 • 支持SSL 协议 • 支持SSL 密码 • 服务器配置不当 • 目录索引与列举 • 服务拒绝 • HTTP 响应拆分 • Windows 8.3 文件名 • DOS 驱动程序安装处理 DoS(DOS device handle DoS) • 标准化攻击 • URL 改道攻击 • 密码自动完成 • Cookie 安全 • 自定义模糊 • 路径操纵－穿越 • 路径截断(Path truncation) • Ajax 审计 • WebDAV 审计 • Web 服务审计 • 文件列举 • 信息泄露 • 目录与路径穿越 • 垃圾邮件网关检测 • 强力验证攻击 • 已知应用与平台漏洞 渗透检测高级工具(HP Security Toolkit) • SQL injector：使用SQL 注入漏洞提取数据库的内容 • Cookie cruncher：分析 cookie 的优点，以避免会话 劫持 • 编码器：解密加密方式和编码标准 • HTTP 编辑器：创建和编辑原始HTTP 请求 • R e g e x 编 辑 器 ： 检 测 并 建 立 正 则 表 达 式 ( r e g u l a r expression) • SOAP 编辑器：生成和编辑原始web 服务请求 • Web Fuzzer：使用HTTP 模糊检测或修改输入变量发现 缓冲器溢出 • Web 代理：浏览网站时查看每个请求和服务器响应 • WebBrute：检测登录表的优点或web 和代理验证系统 • WebDiscovery：查找端口后的web 服务器及web 应用 • 服务器分析器：确定 web 服务器或设备，进行深入的 SSL 分析 • 流量统计(Traffic monitor)：监视扫描与审计过程中发出 的所有HTTP 请求和响应 技术规格 • 1 GB 内存 • 2 GB 可用磁盘空间 • 主动互联网连接(用于更新) • 1.5 GHz 或速度更快的处理器 • Microsoft® Internet Explorer 6.0 或7.0 版 • Microsoft .NET 2.0 或3.0 • Windows® XP Professional SP2、Windows Server 2003 Standard SP1、Windows Vista® • SQL Server 2005 或SQL Server Express SP1 • Adobe Reader 7 或更高版本(用于阅读.pdf 格式的报告) • 屏幕最低分辩率为1024 x 768 (为优化显示性能，建议 采用1280 x 1024 的分辩率) 惠普服务部门 从软件投资中获取最大回报 惠普为您提供了高品质的软件服务，以全方位满足您软件应用生命 周期中的各种需求。与惠普合作，您可以获得基于标准的、模块化 的、多平台软件以及惠普一流的全球服务与支持。从这些种类繁多 的服务产品中－从在线自助支持到主动式关键任务服务－您可以选 择最符合自已业务需求的服务。 如欲了解惠普软件服务概况，请访问： www.managementsoftware.hp.com/service 如欲获得技术互动支持，请访问在线软件支持网站： www.hp.com/managementsoftware/services 如欲了解有关HP Software Customer Connection(软件产品和服务一 站式信息和学习门户网站)的更多信息，请访问： www.hp.com/go/swcustomerconnection 完整的解决方案 全面的培训 惠普提供了一系列全面的惠普软件和 IT 服务管理课程。 这些课程可根据您的需求提供培训，以充分发挥惠普解 决方案的潜力，进一步优化您的网络并提升响应能力， 同时提高您的IT 投资回报。 凭借30 年来在全球范围内解决复杂多样的培训挑战的丰 富经验，惠普对开展培训可谓了如指掌。这些丰富经验 加上深厚的HP OpenView 软件知识，使惠普公司能够提 供最佳培训体验。如欲了解有关这些培训及其它培训课 程的更多详细信息，请访问www.hp.com/learn 最明智的IT 投资方式 惠普金融服务提供创新的融资和金融资产管理计划，以 帮助您经济高效地购置、管理您的惠普解决方案，直至 最终的产品更新换代。欲了解有关这些服务的更多信息， 请联系惠普销售代表或访问： www.hp.com/go/hpfinancialservices 联系信息 如 欲 就 近 寻 找 惠 普 软 件 销 售 部 门 或 经 销 商， 请 访 问 ： www.managementsoftware.hp.com/buy © Copyright 2008 Hewlett-Packard Development Company,L.P.本文所含信息如有更改，恕不另行通知。惠普 产品与服务的全部保修条款在此类产品及服务附带的保修声明中均已列明。此处任何信息均不构成额外的保修 条款。惠普对文中包含的技术或编辑上的错误或遗漏概不负责。 详情请访问：www.hp.com/software 或拨打支持热线：800-820-2255 转126 2008 年4 月中国印刷 P/N: 4AA1-5363CHP