HP WebInspect

HP 的資安智慧和風險管理 ( SIRM ) 平台正在改變企業資安的面

貌。這套 SIRM 平台運用先進的威脅研究，加上能夠有效交叉比

對資安事件和漏洞，功能之強大獨一無二。由於我們能夠針對客

戶的業務關鍵流程和應用系統下，針對資安資產提供無可比擬的

資安能見度，協助客戶管理風險並發揮資安投資的最大效益。

Web 網站應用安全評估的領導者HP WebInspect 是領先業界的 Web 網站應用安全評估解決方

案，可以徹底分析當今複雜的 Web 網站應用和 Web 服務，找

出其中是否有資安漏洞。這套解決方案的技術涵蓋面廣泛、掃描

功能速度快、漏洞說明與修復知識豐富，並能提供精確的 Web

網站應用掃描結果。HP WebInspect 是 HP 整合資安測試技術

不可或缺的一環，能夠找出一般孤立運作的資安測試工具，所無

法檢測到真正重要的資安漏洞。

自動化的安全測試功能，在軟體開發生命週期中被廣泛採用

越早在開發流程中找出資安漏洞，防堵這些漏洞所需的成本就越

低。HP WebInspect 提供資安專業人員和資安新進人員所需的

功能和知識，可針對開發、QA 或生產環境中執行的應用，迅速

鑑別和驗證其中的重大高風險資安漏洞。

擴大新型 Web 技術涵蓋範圍

大多數的網站應用掃描器均針對簡單、相對靜態的 Web 技術所

設計，缺乏精密度，無法掃描現今複雜且互動性高的 Web 2.0 網

站。HP WebInspect 則引領智慧掃描潮流，可讓您評估整個網

站應用，不論您是採用哪種架構或技術。

HP WebInspect 的創新功能包括：

JavaScript / Ajax：HP WebInspect 技術會透過 JavaScript 追

蹤和記錄程式碼路徑，從使用者的角度完整分析應用的變化方

式，同時監看 Ajax 和 Web 服務要求並據此對伺服器端應用進

行攻擊，使漏洞無所遁形。

Adobe® Flash：HP WebInspect 可對 Flash 檔案進行反向組

譯，然後針對結果程式碼執行靜態分析來偵測漏洞，防堵使用

Adobe Flash 技術應用內所存在的資安漏洞。

REST：HP WebInspect 採用一組特定的演算法來偵測 RESTful

服務並擷取 URL 重寫商業邏輯。WebInspect 接著會攻擊所有

相關的 URL 參數，判斷是否有資安漏洞存在。

透過提供許多互動的資訊，加快資訊安全腳步

HP WebInspect 不僅能夠找出需要防堵的資安漏洞，還可利用

互動方式提供重現和解決問題所需的資安知識。透過與 HP Fortify

解決方案的合作以及與 HP Quality Center 和 HP Application

Lifecycle Management 整合，HP WebInspect 的頂尖知識

庫可針對偵測到的漏洞提供完整的詳細說明、該漏洞遭受攻擊所

會造成的影響，以及最佳實務和編碼範例，可以很快找到解決方

案。

運用 HP WebInspect Real-Time，找出更多的漏洞並加快解決速度 HP WebInspect Real-Time 是新的配套應用安全解決方案，將

HP WebInspect 的先進動態應用安全測試技術，與 HP Fortify

SecurityScope 的即時應用安全技術結合，相較於先前的動態應

用安全測試方法，大幅改善了掃描結果的精準度。

WebInspect Scan 儀表板

透過即時互動的儀表板，可以迅速掌握檢測的結果

產品型錄

鑑定 Web 網站應用和服務中易受攻擊的 資安漏洞

2

WebInspect 檢測結果資料庫

易於管理、檢視和分享安全測試結果及歷程記錄

搭配 HP Fortify SecurityScope 使用時，HP WebInspect

Real-Time 可透過自動化的外部安全攻擊促使應用運作，然後在

攻擊發生時在程式碼中即時進行觀察，收集內部的程式碼層級漏

洞資訊。HP WebInspect Real-Time 可鑑別和深入應用，擴大

攻擊表面的涵蓋範圍，並偵測孤立運作的安全測試技術所無法偵

測的新型漏洞。

提升整體企業的資安意識

HP WebInspect 具備市場上功能最強大的報告系統，提供快速、

靈活且可擴充的工具，可將應用安全評估的結果發佈週知。除了

許多標準報告範本外，HP WebInspect 的簡易報告設計工具可

讓您開發和產生完全自訂的報告，以專業且精鍊的格式將相關的

情報提供給重要相關人員。HP WebInspect 也可加入外部來源

的資料，提供完整的企業級報告。HP WebInspect 還具備互動

式漏洞檢閱和重新測試功能，可讓資安團隊進一步驗證所發現

的問題，並對開發人員提供的解決方式進行迴歸測試。這個從

全測試到開發的封閉式反饋迴圈可改善應用團隊的整體資安工

作成效。

符合法律、規定和架構需求

隨著 Web 應用攻擊日益增加，也出現了更多針對應用安全的法律、

規定和最佳實務需求。HP WebInspect 提供多項功能可讓您以

符合成本效益的方式來滿足這些額外的需求。HP WebInspect

包含詳細的報告，可顯示 Web 應用如何符合政府規定和業界標

準，以及需要進行哪些修訂以符合法規。此外，使用者還可以建

立新原則或自訂現有原則。這套進階的報告系統可讓您輕鬆建

立、修改或增強報告的資訊。HP WebInspect 針對多項相關規

定和最佳實務提供預先設定的原則，包括支付信用卡產業資料安

全標準 ( PCI DSS )、OWASP Top 10、ISO 17799、ISO 27001、

醫療保險流通與責任法案 ( HIPAA ) 等多項法規。

運用自動化，達事半功倍之效

如何事半功倍是每個企業組織面臨的挑戰。HP WebInspect 可

透過最有效率的方式達到最大的成效。HP WebInspect 將直覺

的使用方式、智慧掃描引擎、頂尖知識庫、並行執行掃描、即時

掃描結果、標籤式工作區以及出色的報告功能結合在一起，可協

助您善用寶貴的時間、降低資安漏洞評估與補救的成本，同時減

少 Web 應用對企業帶來的風險。

打造適用於整體企業的應用安全方案

HP WebInspect 與 HP WebInspect Enterprise 的軟體整合，

可提供適用於整體企業的分散式評估功能。HP WebInspect

Enterprise 提供可擴充的平台來評估整體企業的所有 Web 網站

應用，並可從全組織的角度檢視應用安全，讓您掌握資訊來作出

明智的風險管理決策。HP WebInspect Enterprise 還可讓您在

整個應用生命週期中輕鬆整合來自其他解決方案的結果，包括

HP Fortify 和 HP QAInspect，以及其他重要管理系統和資安來源，

協助您的企業打造成熟的應用安全方案。

WebInspect 趨勢報告

檢視和分析一段時間的漏洞趨勢，以追蹤應用安全進度和效率

HP Web 安全研究小組

包括 HP WebInspect 在內的所有 HP Fortify Software Security

Center 解決方案，均不乏 HP Web 安全研究小組的專業和威

脅情報參與其中。HP Web 安全研究小組是由頂尖安全研究人員

所組成的菁英團隊，致力於領導 Web 應用漏洞的偵測和創新。

此團隊所進行的全方位研究，不僅在 Web 應用漏洞評估方面提

供最新的創新，同時透過 HP SmartUpdate，自動產生所有產

品定期且及時的更新。

3

主要功能與優點

創新評估技術

• 先進的用戶端指令碼技術可分析 JavaScript、Flash 和其他技術

• 透過同時爬網和稽核以及並行掃描，產生更快的掃描和更準確

的結果

• 先進的巨集錄製技術和彈性的驗證處理，改善了複雜應用中的

工作階段管理

• 利用設計來模擬駭客攻擊手法的智慧引擎，提升偵測準確度

• 創新的應用架構分析工具有助於調整掃描組態，並可針對站台

涵蓋範圍和準確度的改善提供建議

• 採用清單式評估，可進行鎖定目標的高效率應用掃描

• 使用智慧掃描技術辨識 Web 架構的指紋，減少不必要的攻擊

HP WebInspect Real-Time

• 整合動態和即時分析，找出更多的漏洞並加快解決速度

• 與 HP Fortify SecurityScope 搭配運作，可在動態掃描期間於

程式碼層級觀察攻擊

• 鑑別和深入應用，擴大攻擊表面的涵蓋範圍並偵測新型漏洞。

• 針對確認的漏洞，提供堆疊追蹤和程式碼行詳細資料

互動式漏洞檢閱和管理功能

• 將結果發佈至 HP Software Security Center，並迅速瞭解其

在各次掃描之間的變化

• 簡化漏洞檢閱流程，讓使用者能夠與測試結果互動

• 靈活彈性的漏洞結果檢視，可將結果分組和篩選

• 顯示重現漏洞和鑑別方式的詳細步驟

• 重新執行一系列的步驟來對解決方式進行驗證或迴歸測試，以

重新測試單一漏洞

• 輸入手動偵測結果並將螢幕截圖和文件附加到測試結果，讓人

一目瞭解，溝通無礙

• 重新測試漏洞功能可重新測試先前偵測到的漏洞，並針對正確

處理漏洞與否提供信心測度，大幅縮短補救驗證時間

• 每次掃描的測試結果均可保留

進階 Web 服務安全測試

• 支援複雜的資料類型，可呈現進階 WSDL 以及指定測試資料

• 自動偵測和稽核內嵌於應用中的 Web 服務

• 焦點 Web 服務攻擊和模糊測試

• 使用 Web 服務安全設計工具 ( Web Service Security

Designer ) 可設定 Web 服務安全測試

使用性提升，簡單易用

• 使用基本組態即可快速起始簡單或迴歸掃描，立即取得結果

• 利用直覺操作的精靈逐步設定掃描，數秒內就能開始看到結果

• 透過標籤式介面，檢閱和控制多個同步掃描及報告

• 只要按幾下滑鼠，即可將誤報報告和其他意見直接安全地送交

給 HP

• 建立可重複使用的元件化巨集來錄製測試步驟和登入程序

• 使用自訂檢查精靈，迅速輕鬆地開發自訂攻擊和原則

可付諸行動的補救和法規遵循報告

• 針對所有主要的法規標準執行法規遵循報告，包括PCI、SOX、

ISO 和 HIPAA

• 配合企業需求，建立靈活、可延伸和可擴充的報告

• 透過報告範本，簡化重複性的報告產生工作

• 評估應用安全趨勢和整備度

• 掃描比較功能可針對兩次掃描所找到的漏洞進行差異分析比較，

讓使用者可以看到補救的成效，以及監控是否有任何新漏洞產

生。

重要整合

• 可以整合到您的缺失管理流程，並可立即與 HP Application

Lifecycle Management 及 Quality Center 進行整合

• 整合到您的企業應用安全管理流程，並可立即與 HP WebInspect

Enterprise 軟體進行整合

• 透過 XML 支援廣泛資料匯出，可與其他安全管理系統開放整合

• 透過與 ODBC、SQL 或 XML 資料庫連接，可將外部資料來源的

資訊納入您的報告中

提供滲透測試人員所需的進階工具 ( HP Security Toolkit )

• 報告設計工具：可讓您建立新報告或自訂 HP 提供的報告、結

合外部資料來源、編輯樣式以及建立自訂使用者輸入

• SQL 載入工具：使用 SQL 插入漏洞來擷；取整個資料庫

• Cookie 壓縮工具：分析 Cookie 的強度，避免工作階段遭到劫持

• 編碼工具：轉譯不同的加密和編碼標準

此為 HP Indigo 數位印刷品。

與我們聯絡 hp.com/go/getconnected

將最新 HP 驅動程式、支援和安全性警示 直接傳送到您的桌上型電腦

© Copyright 2007, 2009-2012 Hewlett-Packard Development Company, L.P. 本文件包括的資訊如有更改，恕不另行通知。 HP 產品與服務的所有保固已於該等產品與服務隨附的明示保固聲明中載明。不應將本文件任何資訊視為構成額外的保固。 HP 對於本文件中的技術、編輯錯誤或遺漏恕不負責。

Adobe 是 Adobe Systems Incorporated 的商標。Windows 是 Microsoft Corporation 在美國的註冊商標。

4AA1-5363ZHP，2007 年 9 月製作；2012 年 8 月更新，修訂版 6

• HTTP 編輯器：建立並編輯原始 HTTP 要求

• 規則運算式編輯器：測試並建立規則運算式

• Web 服務測試設計工具：產生和編輯原始 Web 服務要求

• Web 模糊測試：使用 HTTP 模糊測試或修改輸入變數來鑑別緩

衝區溢位

• Web Proxy：瀏覽網站時檢視每個要求和伺服器回應

• Web 強度測試工具：測試登入表單或 Web 和 Proxy 驗證系統

的強度

• Web 探索：鑑別和探索哪些 Web 伺服器和 Web 應用在哪些

連接埠後方

• 伺服器分析工具：鑑別 Web 伺服器或裝置並執行深入 SSL 分析

• 流量監控工具：在編目和稽核期間監控傳送的每個 HTTP 要求和

回應

關於 HP 企業安全

HP 是安全和法規遵循解決方案的領導供應商，可協助現今企業

降低其混合式環境中的風險，並防禦進階威脅。HP 安全智慧平

台以 HP ArcSight、HP Fortify 以及 HP TippingPoint 的市場領

導產品為基礎，是唯一能夠提供進階交叉比對、應用保護以及網

路防禦的獨特平台，可保護現今混合式 IT 基礎架構不受複雜網路

威脅所侵害。

HP 服務HP ESP 全球服務從全方位的角度打造和運作網路安全與應變解決

方案和功能，可滿足全球大型企業的網路威脅管理和法規遵循需

求。我們將實際操作的專業經驗 ( 包括您和我們的 ) 與備受肯定

的方法結合，可迅速展現成效並反映在 ROI 上。我們獲肯定的

使用案例導向解決方案將領導市場的技術與可永續發展的商業和

技術流程結合，而這些流程由受過訓練的專業人員負責執行。

若要進一步瞭解 HP ESP 全球服務，請上網瀏覽 hpenterprisesecurity.com 。

如需詳細資訊

若要進一步瞭解 HP Fortify 如何解決您的應用安全考量，請造訪 hpenterprisesecurity.com/products/hp-fortify-software- security-center

HP WebInspect 會檢查是否有：資料插入和操作攻擊

• 反射式跨網站指令碼 (XSS)• 常駐型 XSS• DOM 型 XSS• 跨網站偽造要求 • SQL 插入• 隱碼 SQL 插入• 緩衝區溢位• 整數溢位• 遠端檔案包含 (RFI) 插入• 伺服器端包含 (SSI) 插入• 作業系統指令插入• 本機檔案插入 (LFI)• 參數重新導向• 重新導向鏈結稽核

工作階段和驗證

• 工作階段強度• 驗證攻擊• 驗證不足• 工作階段修復

伺服器和一般 HTTP

• HTML5 分析 • Ajax 稽核• Flash 分析• HTTP 標頭分析• 用戶端技術偵測• 安全通訊端層 (SSL) 憑證問題• 支援 SSL 通訊協定• 支援 SSL 加密• 伺服器錯誤組態• 目錄索引編製和列舉• 阻斷服務• HTTP 回應分割

• Windows® 8.3 檔案名稱• DOS 裝置處理 DoS• 標準化攻擊• URL 重新導向攻擊• 密碼自動填入• Cookie 安全性• 自訂模糊測試• 路徑操作—周遊• 路徑截斷• WebDAV 稽核• Web 服務稽核• 檔案列舉• RESTful 服務稽核• 資訊外洩• 目錄和路徑周遊• 垃圾郵件閘道偵測• 強行驗證攻擊• 已知的應用和平台漏洞