搜索
1企业业务应用的安全保障HPASC解决方案2提高web应用的安全性在对某些较成熟的web应用(如超文本标记语言(HTML)和通用网关界面(CGI))进行安全检测时,传统的应用安全扫描程序表现出色,但对于Ajax、简单对象访问协议(SOAP)、面向服务的体系结构(SOA)、丰富站点摘要(RSS)和Atom等新兴Web2.0技术,以及其它动态技术(如JavaScript和Flash)则无能为力。传统web应用扫描程序根本不具备扫描和编译当下web应用(有活动内容、强制性双重身份验证及其它改进)的功能。HPApplicationSecurityCenter产品与评估技术所有HPApplicationSecurityCenter软件产品都内置了先进的评估技术,能为您提供准确的扫描结果。通用组件报告您可以利用该报告系统的配置选项和模板驱动型报告定制报告。标准报告包括安全审计程序、质量保证(QA)和以开发人员为核心的报告,以及大量的分类和过滤选项。数据库连接HPApplicationSecurityCenter产品是在MicrosoftSQLServer技术基础上构建而成的,该产品包括一个集中式数据库,具有数据存储、信息访问和精确分析功能,能提供安全数据处理报告。智能引擎智能引擎技术(专利申请中)采用结构化逻辑方式对应用进行分析,能根据每项web应用的运转状态和环境选择攻击方式。SecureBase安全漏洞数据库是一个全面而精确的知识库,可以对5000多种独特的web应用漏洞、威胁进行安全检测。SmartUpdate在发布新漏洞公告时,我们会利用SmartUpdate的功能制定智能适应性方案侦测这些漏洞,帮助您迅速获取相关信息。另外,您也可以联系惠普公司,通报您发现的新漏洞。自定义检测我们的所有产品都支持您使用自定义检测向导开发定制的检测方案。高级用户可以使用我们丰富的扫描引擎API创建用C#编写的自定义代理。安全检测范围我们的评估技术涵盖了20多部法规和最佳实践,能发现以下安全漏洞:数据注入和操纵攻击•ReflectedXSS•PersistentXSS•跨站请求伪造解决方案概述HPApplicationSecurityCenter软件产品能全面分析现在构建于新一代Web2.0技术之上的复杂web应用。HPApplicationSecurityCenter软件应用范围广泛,具有快速扫描功能且能提供准确的Web应用扫描结果。3•SQL注入•SQL盲注•缓冲器溢出•整数溢出•Log注入•远程文件包含(RFI)注入•服务器端包含(SSI)注入•操作系统命令注入•本地文件包含(LFI)会话与验证•会话强度•验证攻击(Authenticationattack)•验证不充分•会话有效期短(insufficientsessionexpiration)服务器与通用HTTP•安全套接层(SSL)证书问题•SSL协议•SSL密码•服务器配置不当•目录索引与列举•拒绝服务(DoS)•HTTP响应拆分•译码攻击•Windows8.3文件名•DOS驱动程序安装处理DoS(DOSdevicehandleDoS)•标准化攻击•URL改道攻击•密码自动完成•Cookie安全•自定义模糊•路径操纵-穿越•路径截断(Pathtruncation)•Ajax审计•WebDAV审计•Web服务审计•文件列举•信息泄露•目录与路径穿越•垃圾邮件网关检测•强力验证攻击•已知应用与平台漏洞评估技术Simultaneouscrawlandauditsimultaneouscrawlandaudit(SCA)技术将应用的crawlandaudit阶段整合到单一流程中,提高了扫描速度和结果的精确度。因为是同时而非顺序开展活动,扫描时间因此缩短了50%以上。另外,因为根据实时审计结论对扫描进行了过滤,所以有助于了解web应用攻击的整体情况。状态管理引擎状态管理工具会对所有扫描结果进行验证。它既可以作为用户,也可作为单个用户会话对正在运行的多个4线程进行单独管理或整体管理。如果忽略了某种状态,则该状态管理引擎会暂停所有扫描活动,重新建立连接,重新验证,然后再进行评估。客户机逻辑引擎Web2.0、Ajax、Flash和JavaScript已经创建的丰富而复杂的web应用需要进行高级安全检测。客户机逻辑引擎能综合使用这些技术处理应用,并自动进行准确的评估。Ajax引擎Ajax引擎拥有分析和评估基于Ajax的应用,以及发现漏洞所需的能力。我们与客户及潜在客户合作,确定Ajax编程风格,提供独特的Ajax方式支持。高级步骤模式我们的安全评估技术能直接集成到您的web浏览器中,执行高级手动扫描任务。对于那些希望强化评估控制的高级用户而言,我们的高级步骤模式可帮助他们对审计对象和时间进行精确的控制。高级步骤模式甚至能对最复杂的站点进行精确审计,它既能对用户进行同步审计,也能在用户完成自己的分析后进行审计。综合分析HPDevInspect软件能简化应用开发过程中的安全检测问题,通过“黑匣子”检测和源代码分析,能准确找到源代码出现安全漏洞的根本原因。HPDevInspect几乎可以发现web应用和服务中存在的任何安全漏洞。Web服务引擎Web服务引擎可帮助您分析、评估和发现web服务应用存在的安全漏洞。高级验证管理智能自动化简化了应用验证程序,即使是采用了先进技术(如双重身份验证或全自动区分计算机和人类的图灵测试(CAPTCHAs),智能自动化也能轻松完成对其的验证。法规管理器HPApplicationSecurityCenter软件包含了高级法规遵从报告和检测工具。该软件拥有20多个通用法规模板,支持重要法律、法规和最佳实践,包括《支付卡行业数据安全标准》(PCIDSS)、OpenWebApplicationSecurityProject(OWASP)Top10、《联邦信息安全管理法案》(FISMA)、《萨班斯-奥克斯利法案》(SOX)、《金融服务现代化法案》(GLBA)和《医疗保险便携性及责任法案》(HIPAA)等。另外,我们还提供了一个法规编辑器,便于您修改或查找现有的IT安全政策,将其转变为能够执行、适用于所有软件产品的自动化检测计划和报告。5安全测试流程标准化如今每月有100多万款新应用发布,每周都会有黑客攻击得手的消息,因此,应用安全已变得越来越重要。随着应用安全意识的提高,安全与运营专业人员正努力在创建Web应用过程中寻找安全漏洞。这些漏洞通常源自源代码的缺陷,可通过开发补救和出于质量保证目的而进行的衰退测试进行修复。很多组织现在已经认识到,安全已成为开发和质量保证工作的重中之重。开发与质量保证团队意识到,必须像处理其它软件缺陷一样处理Web应用安全漏洞。HPQAInspect软件为质量保证团队提供了综合性安全管理解决方案。该软件采用创新技术发现黑客可能会进行攻击的安全漏洞。HPQAInspect以质量保证人员可以理解的方式详细报告应用的安全信息,报告内容包括按安全等级排列的漏洞列表及关于漏洞的完整描述。分析结果十分详尽,会对黑客可能采取的攻击方式,如跨站脚本(XSS)攻击或结构化查询语言(SQL)注入,以及与《萨班斯-奥克斯利法案》(SOX)、《医疗保险便携性及责任法案》(HIPAA)及《支付卡行业数据安全标准》(PCI)等法规相关的问题进行详细描述。综合性安全管理应该像对待其它软件缺陷一样对待安全漏洞。HPQAInspect可帮助您及早发现安全缺陷,提供您所需的信息,支持您与开发人员合作快速修复漏洞,预防生产过程中发生攻击,以节约时间和金钱,最终帮助您降低组织的安全风险。嵌入式配置HPQAInspect的用户界面嵌入到HPQualityCenter界面内部,使用起来非常方便。将安全测试整合到测试环境HPQAInspect以深入而直观的集成为特征,会适应您的工作方式像执行功能和性能测试一样熟练地进行安全测试。无需离开测试环境就可以对应用进行安全测试,使用自己喜欢的测试解决方案自动管理安全缺陷。分析最新的应用大多数应用扫描程序面向原有的web技术,无法扫描使用Ajax、SOAP、JavaScript和Flash技术开发的Web2.0应用。HPQAInspect的架构已经过改进,能分析当今的web应用技术,支持复杂的站点。共享知识与数据HPQAInspect提供的预先打包的web应用安全策略可应付时下最常见的漏洞和黑客攻击行为。一方面可以提高您的安全技能,另一方面,还可使用先进的应用安全漏洞知识库和漏洞修复最佳实践确保应用安全。集成到整个企业中HPQAInspect可以和HPAssessmentManagementPlatform软件集成,能对整个企业进行分散式评估。充分利用现有的功能测试脚本在测试过程中,HPQAInspect能发现特定使用环境或web应用页面存在的安全漏洞,并对其安全级别排HPQAInspect软件HPQAInspect软件支持质量保证(QA)专业人员将全自动Web应用安全测试集成到整个测试管理流程中,无需专业安全知识,也不会影响产品发布计划。6序,提供针对每个漏洞的详细信息和修复建议。全面、准确而快捷的评估HPQAInspect具有同步扫描与审计(SCA)和智能引擎等突破性创新功能,可提高评估的准确性。同步扫描与审计将应用扫描与审计阶段整合到一个流程中。另外,因为根据实时审计结论对扫描进行了过滤,所以有助于了解web应用攻击的整体情况。智能引擎采用结构化、逻辑方式分析应用,然后再根据应用行为与环境确定攻击信息。HPQAInspect对这些先进的突破性评估技术与SecureBase中常见的web应用漏洞进行了整合,其采用的新架构扩大了适用范围,包含了当前很多web应用,可对应用的安全性进行快速而准确的评估。应用生命周期安全方式HPApplicationSecurityCenter是一个综合性产品与服务套件,支持包括开发、后续运营管理和审计在内的完整的web应用生命周期,HPQAInspect是其中的一个组件。这些安全产品能及早发现软件生命周期中的漏洞,预防应用生命周期内出现新的漏洞。与惠普质量管理产品紧密集成HPQAInspect可以和HPQualityCenter产品集成,可对现有测试框架中的web应用进行分析。HPQAInspect支持您利用HPQualityCenter软件规划、配置、执行和管理自动化web应用的安全。您可利用现有的HPQualityCenter和HPTestDirector软件功能,进行安全测试。HPQAInspect支持您利用由HPQuickTest专业软件创建的现有功能测试脚本,对业务流程自动进行安全分析。HPQAInspect会转换现有的功能脚本,支持您利用这些经过转换的脚本实施安全扫描。主要特性和优势复杂的集成•集成惠普质量管理解决方案:集成HPQualityCenter与HPTestDirector•集成缺陷报告结果:查看HPQualityCenter的安全缺陷报告和功能缺陷报告•明确漏洞的安全级别:根据业务风险确定漏洞级别•利用嵌入式用户界面快速实现价值:使用HPQualityCenter中的扫描配置用户界面详细报告和法规遵从•运行高级管理报告:使用HPQualityCenter或HPQAInspect报告技术显示企业安全状态快照•创建详细的开发和质量保证报告:为开发和质量保证团队定制报告•运行法规遵从综合报告使用扫描数据运行针对所有主要法规标准(包括PCI、SOX和HIPAA)的法规遵从报告•获取趋势分析和安全就绪报告:预测应用安全趋势创新的评估技术•同步扫描与审计(SCA):通过综合性应用扫描和审计流程加快扫描速度,获取更准确的结果•应用范围更广,减少了漏报现象:使用专门面向今天复杂应用的扫描技术减少漏报现象•支持IPv6:支持IPv6网络和主机7下一代web应用扫描HPWebInspect软件是一款行业领先的web应用安全评估软件。HPWebInspect解决了复杂的Web2.0问题,且能找到传统扫描程序无法发现的漏洞。