# Fortify WebInspect 安全评估工具
Fortify WebInspect 是一种自动化动态测试解决方案,可提供全面的漏洞检测,并帮助安全专业人员和 QA 测试人员识别安全漏洞和配置问题。
它通过模拟对正在运行的应用程序的真实外部安全攻击来识别问题并确定问题的优先级以进行根本原因分析来实现此目的。
此外,WebInspect 拥有众多 REST API,这些 API 受益于集成,并且可以通过直观的 UI 进行管理或完全通过自动化运行。
# 主要特征
# 功能应用程序安全测试 (FAST)
不受 IAST 限制! FAST 可以进行所有功能测试并以与 IAST 相同的方式使用它们,但随后它会继续爬行。因此,即使实际测试遗漏了某些内容,FAST 也不会遗漏它。
# 黑客级洞察
查看客户端框架和版本号等发现结果,如果不更新,可能会成为漏洞。
# 管理企业应用程序安全风险
监控应用程序内的趋势并对最关键的漏洞采取行动以满足 DevOps 需求。
# 灵活部署
借助本地、SaaS 或 AppSec 即服务的灵活性,快速启动并根据需要进行扩展。
# 合规管理
针对与 Web 应用程序安全相关的所有主要合规性法规(包括 PCI DSS、DISA STIG、NIST 800-53、ISO 27K、OWASP 和 HIPAA)的预配置策略和报告。
# 通过水平缩放提高速度
水平扩展使用 Kubernetes 创建 WebInspect 的小版本,仅专注于处理 JavaScript。这允许扫描并行工作,从而实现更快的扫描。
# 主要优点
# 更快更早地发现漏洞
可以针对您的应用程序调整和优化 WebInspect,以便更快、更早地发现 SDLC 中的漏洞。使用代理技术增强扫描,扩大攻击面的覆盖范围并检测其他类型的漏洞。
-
WebInspect Agent 集成了动态测试和运行时分析,以增强您的发现和范围。它通过抓取更多应用程序、扩大攻击面覆盖范围以及比单独动态测试更好地暴露漏洞来识别漏洞。
-
优先采用先进技术:
-
使用策略管理器运行针对高速调整的自定义策略。
-
同时进行爬取和审核。
-
重复数据删除:通过避免扫描应用程序不同部分中的相同类 / 功能来减少发送的攻击数量。
-
检查避免:如果代理确定应用程序可以处理攻击,则通过避免向特定检查类型发送多次攻击来减少发送的攻击数量。信息被加载到 Fortify 软件安全中心 (SSC) 中,并与问题相关的 Fortify 静态代码分析器 (SCA) 扫描结果一起使用。
-
冗余页面检测可减少扫描时间。
-
由于向开发人员提供了一行代码详细信息并返回堆栈跟踪信息,因此可以更快地修复漏洞。
# 自动化节省时间
-
利用冗余页面检测、自动宏生成、增量扫描和容器化交付等功能节省时间和资源。
-
优化扫描流程,提高速度并提高准确性。
# 抓取现代框架和最新网络技术
WebInspect 是一款全面的动态应用程序扫描器,可以抓取现代框架和 Web 技术,并对所有漏洞类别进行全面审核,支持最新的 Web 技术,包括 HTML5、JSON、AJAX、JavaScript、HTTP2 等。
-
支持以下常见框架的单页应用程序 (SPA) 检测:Angular、AngularJS、React、GWT、Vue、Dojo 和 Backbone。
-
测试针对移动设备优化的网站以及本机 Web 服务调用。
-
WebInspect 提供自动宏生成、宏验证和修复验证等功能,使小团队能够大规模检测和修复漏洞。
-
作为 SCHANNEL 锁定问题的解决方案,OpenSSL Preview 为 SSL 受注册表或组策略限制的环境提供了简单的解决方案。
