最新做的一个项目,被测试组猛烈攻击,暴露了不少问题。其中一个问题印象深刻!测试使用了WebInspect这个扫描工具,扫描了整个网站,包括后台。结果我们的数据库里被灌入大量的垃圾数据,并修改了原有的数据。总之,惨不忍睹!后来,我们发现我们后台的一个简单的检查是否登录的方法有问题:在判定未登录时,使用php header()跳转页面,没有在这个方法执行后退出执行。这样的话,页面跳转,但在header
原创
2013-07-12 16:59:53
1004阅读
paip.网站扫描安全工具hp WebInspect 使用指南 作者Attilax 我下载的是WebInspect 9.02 (251M),需要激活。。下了个V8.X的破解补丁,是可以用的。。。安装好WebInspect 9.02后,补丁程序先PATHC,再“LISENCE”,选那个XML LISENCE文件,完成激活。。使用Web
原创
2021-08-26 11:40:34
774阅读
WebInspect是一款动态应用程序安全测试工具,最初是HP旗下的产品,后经Micro Focus收购,与有名的代码审计工具Fortify同属一个系列。它是通过模拟来自真实环境的攻击行为,来检测漏洞,归纳出漏洞的类型,提供漏洞修复的优先级建议和修复建议。比较方便集成到组织的DevOps流程中,也可以实现实时的动态监控。可以自动化运行,对于误报可以人工标记,误报率相对来说比较少,是一款比较好用的安
转载
2023-12-05 12:33:50
261阅读
Start WebInspect 说明:我对《WebInspect QuickStart.pdf》的前半部分进行了翻译,如下所示: 欢迎WebInspect7.7。本指南旨在让你尽快地“启动和运行起来”,同时介绍业界最好最快的网络应用安全评估工具的主要特点。 开始启动WebInspect要启动WebInspe
漏洞说明在用webinspect或者appscan等工具扫描项目的时候,js版本漏洞(版本过低)是其中比较常见的一个。漏洞说明为:项目使用了存在漏洞的jquery版本,可能会导致跨站脚本攻击(XSS)。 修复该漏洞的方法为更新jquery版本,但有一个问题就是,不同的工具扫描的情况也不同,比如在项目中,我们把jqeury版本升级到v1.11.0,webinspect没有扫描出漏洞,但是AWVS则扫
转载
2023-06-06 16:31:29
578阅读
paip.Answer 3.0 注册功能SQL注入漏洞解决方案作者Attilax , 1466519819@qq.com今天使用WebInspect 9.20扫描网站漏洞,我的网站系统是Answer 3.0 ,发现SQL注入漏洞影响功能:注册
原创
2021-08-26 14:42:45
113阅读
一、前言: Fortify是Micro Focus旗下AST (应用程序安全测试)产品 ,其产品组合包括:Fortify Static Code Analyzer提供静态代码分析器(SAST),Fortify WebInspect是动态应用安全测试软件(DAST),Software Security Center是软件安全
试用了三款市场排名靠前的“Web安全扫描器”过程如下:(1)IBM Rational AppScan7.8;(2)Acunetix Web Vulnerability Scanner9(3)HP WebInspect10.0 一:测试环境的搭建如下:http://10.1.12.215/cms/staticPage/二测试过程如下:(1)IBM Rational AppScan7.8:(
原创
2023-06-07 17:55:26
90阅读
paip.提升安全性--360,WI,AWVS三款WEB程序安全检测软件使用总结作者Attilax我的网站先用360网站在线检测了下,结果说我98分。没漏洞。。然后用Acunetix Web Vulnerability Scanner 7,发现两个SQL注入漏洞..然后又用WebInspect 9.20,发现了两个SQL注入漏洞,两个XSS
原创
2021-08-26 11:40:01
231阅读
