HP WebInspect安装与使用
安装说明
HP WebInspect10.30 是一款文件大,
系统资源占用更大的扫描软件,
在安装后开机会自动启动种类繁多的服务和进程,
尽量将 WebInspect 安装在单独的虚拟机,
分配内存 3GB 以上;
确保操作系统 Windows 7 及以上;
并确保支持.Net Framework 4.5.x 和 SQL Server 2012;
开启前还需运行 services.msc 工具
检查 SQL和 WebInspect 系列服务是否全部正确启动以防扫描时出现致命错误中 断;
10.30版本的下载和升级可能需要 VPN。
使用
****注意:分为需要登录检测和无需登录检测****
new
点 Create a Standard Web Site Scan 开始一个标准的网站扫描的设置
此时会弹出教程界面,点击关闭或仔细查阅
此教程界面可随时由右上角 Tutorial 按钮调出,如下图
在开始 URL 中输入站点路径,点击 Verify 确认可用性
页面显示出来后,点 Next
Policy 是设定用 OWASP Top 10 风险方式检查还是仅仅检查 SQL 注入或者只是快速扫描一下的。
而 Crawl Coverage 设定爬虫深度,越往上速度越慢,爬到页面越多。
设置之后点藏在左上角的 Next
对于需要登陆后进行检查的页面点击 Create 创建登录宏
在登录记录进程正常启动后,上方标志会从 Record 变成 Stop;然后找到网页上正常登录的地方,此处是 Signin
在右侧网页上输入用户名、密码,点击登录;
WebInspect 会自动记录登录信息和页面跳转,在发现成功登录后,会要求点击上方Play 按钮演示一遍记录到的登录操作
点击上方 Play 按钮,看着 WebInspect 跑完一遍
在询问是否正常登录时根据实际情况点 Yes 或 No
为了自动检测而不是每次询问,WebInspect 还会要求指定一个参数来验证是否成功登录,此处点击 username,告诉 WebInspect,当出现 username 时就是成功的登录。
等待 WebInspect 再跑一遍,直到出现 Did the macro play correctly?询问宏是否在发现了刚才指定的 username 后确实就代表正确登录了。
如果是,点击 Yes,WebInspect 进入检测退出登录条件模式。
检测到退出登录条件后,提示宏记录完成,在左上角点 Save 保存宏。
保存为指定路径和默认格式后
再点 Play
默认扫描类型为标准扫描:爬虫并审计
与APPscan的区别
APPscan是先爬取后扫描
webinspect是一边爬取一边检测
进行攻击的时候会对攻击代码进行一些变异
