我的客户一直在带有实时数据的实时制作系统上使用WebInspect。它们为工具提供了真实用户ID和真实生活数据,并让WebInspect在其中填充了全部孔。至少在一种情况下,它们因此损坏了生产数据。我的客户坚持认为他们必须这样做以确保他们的网站是安全的。对我而言,这似乎是一个错误的想法。其他人对此有何看法?我一直认为WebInspect是开发人员的工具而不是渗透测试工具。
答案 0 :(得分:0)
PCI-DSS要求进行此类测试。商家需要扫描他们的现场并每季度进行一次通过测试。 Mcafee Secure和Sitewatch等服务可以选择每天扫描您的网站。一种非常有效的方法是在发布任何更改之前测试代码库的开发版本。
如果存在污染数据库的问题表单,则应使用capthca保护此表单。毕竟不是那个漏洞吗?攻击者是否故意污染您的数据库?实际上,这是一个检测漏洞的方法。
答案 1 :(得分:0)
Rook是正确的,如果没有仔细考虑掉落,WebInspect不应该在生产环境中使用。根据我的经验,一直是Crawler可以造成最大的破坏而不是每个人都认为的审计/攻击。这是因为Crawler应该在不考虑的情况下运用所呈现的应用程序的所有部分,以暴露最大的攻击面区域。如果有办法转移资金或一个大红色按钮,请说哦,请不要按此按钮,WebInspect将会这样做。
最好的方法是Rook描述的,首先在测试环境中扫描。一旦您在扫描测试实例时解决了所有问题,那么您可以稍后在生产站点上使用该扫描配置。您应该使用普通的用户级帐户来验证WebInspect,但您应该使用测试帐户而不是真人帐户。等价但不完全相同。
WebInspect提供了一系列“塑造”扫描的方法。 Restrict To Folder选项可以将其保留在一个目录或该目录及其子目录中。 Session Exclusions可以阻止WebInspect访问特定文件夹或URL或表单。请求过滤器可用于防止使用特定的表单值,同时允许所有其他表单值。 List-Driven或Workflow-Driven扫描结合Audit-Only方法可以将攻击限制在一个区域,并防止抓取/发现网站的其余部分。
如果您还有其他问题,请随时联系客户支持,或者询问他们的扫描手册或个人评论。
完全披露 - 自2004年以来,我一直在支持和销售WebInspect。
答案 2 :(得分:0)
Webinspect绝不应该在生产环境中使用,因为服务器很可能会出现故障,数据可能已损坏等。渗透测试通常在分段或预制环境中完成。请查看以下教程,该教程详细说明了扫描Web应用程序时需要执行的操作。
http://webappsecure.blogspot.in/2012/07/hp-webinspect-tutorial.html