华克斯-webinspect说明手册-webinspect

针对 hpe webinspect 强化您的 sharepoint 2016 的指南

我已经在 microsoft sharepoint server 2013 中撰写了许多关于安全主题的文章，webinspect说明手册， 在这段时间里， 我与机构合作， 分享了我的经验和教训， 我的职责是---他们的 sharepoint 2013 农场尽可能的安全和稳定。这样的任务听起来很有挑战性， 因为 sharepoint 是一个包含多个不同组件的平台， 您不能仅仅分解它来实现某些内容。我的角色的一部分，webinspect---， 我要---如果某项被标记， 则一旦自定义应用程序被批准部署到生产环境中， 就必须补救。

我的一个客户热衷于 hpe webinspect。他们选择它作为主要的 web 应用程序漏洞评估工具， 将其 sharepoint 部署到大约2万员工。由于使用了该工具， 我在报告中遇到了挑战， 每次在生产展开前需要扫描自定义应用程序时都会生成该工具。在本文中， 我只想分享一些常见的发现， 您可能需要修复自己或--- microsoft 支持以确认的正面标志。在开始之前， 我---建议您阅读下面的与 sharepoint 安全相关的文章:

urlscan 和 sharepoint在 sharepoint 中禁用多个登录会话的方法在硬化的 sharepoint 环境中的直接编辑功能frontpage 服务器扩展是否易受 sharepoint 2013 的影响？---对 sharepoint 2013 web 服务的访问密码过期 的快速思考iis 请求筛选白名单和 sharepoint 2013对 sharepoint 审计的思考在 sharepoint 中防止放置方法的探讨iis 请求筛选白名单和 sharepoint 2013sharepoint 中的 intranet 协作安全性–1部分sharepoint 中的 intranet 协作安全性–2部分sharepoint 中的 intranet 协作安全性–3部分

webinspect：

webinspect是hp提供的web应用程序安全扫描工具。它有助于安全人员评估web应用程序中潜在的安全漏洞。 webinspect基本上是一个动态黑盒测试工具，通过实际执行攻击来检测漏洞。在web应用程序启动扫描后，有一些评估代理可以在应用程序的不同区域工作。他们将结果报告给评估结果的安全引擎。它使用审计引擎攻击应用程序并确定漏洞。在扫描结束时，您可以生成一个名为“漏洞评估报告”的报告，其中列出了所需格式的安全问题。使用此报告，---可以解决问题，然后进行验证扫描以确认相同。 hp webinspect是一种商业工具，您需要---来扫描网站。使用轨迹版本，您将被允许仅扫描zero.webappsecurity.com（hp演示网站）。所以当应用程序托管在某些环境（测试/检查/生产）中时，webinspect基本上可以看出。与其他所有工具一样，与使用webinspect相关的优点和缺点都有。

优点：

在处理大型企业应用程序时节省时间

模拟攻击，显示结果，并提供全mian的观点。

它不依赖于底层语言。

缺点：

任何工具难以找到逻辑缺陷，弱密码存储，---信息的---性等。

它具有在每个web应用程序上使用的有效负载列表。根据应用程序的类型，它不会在生成有效负载时使用任何智慧。

列出的漏洞可能存在---。

话虽如此，webinspect在许多功能上都获得了---的成绩，有助于提供扫描解决方案。