產品特寫

如何用 Fortify WebInspect 掃描網站?

陳嬿如 陳嬿如
更新於

軟體及程式公司在整個網站上線前,為了解上線後是否能夠有效防止駭客入侵,可採用 Fortify WebInspect 黑箱測試工具進行掃描與檢測。WebInspect 是一個用來模擬駭客入侵行為的網站掃描軟體,經過測試後發現沒有重大安全問題的話,就表示這個網站的安全係數可以阻擋一般性的駭客行為,讓網站不會曝露在一個相對危險的狀況。資通電腦顧問團隊藉由 WebInspect 黑箱測試工具輔助,在現行環境中提供自動掃描,及快速分析大量的 Web 應用程式和服務,協助軟體程式公司找出網站漏洞進行修復,強化網站安全且免於駭客入侵。

WebInspect 硬體及軟體需求:

硬體需求(建議單機,避免使用 VM)

  • 處理器:2.5 GHz 4 核心以上(越快越好)
  • 記憶體:16 GB 以上(越大越好)
  • 硬碟空間:40 GB 以上,但如果資料庫也在同機安裝,需要更大空間
  • 顯示:1280*1024

軟體需求:

  • 作業系統:Windows 10(建議)、Windows Server 2016、Windows Server 2019
  • NET Framework 4.8
  • SQL Server 2017 Express(建議)、SQL Server 2012 Express SP4、SQL Server 2014 Express SP3、SQL Server 2016 Express SP2、SQL Server 2019 Express
  • Internet Explorer 11
  • Adobe Acrobat Reader 11

WebInspect 功能精靈簡化掃描工作:

WebInspect 主介面

如何用 WebInspect 掃描網站?

1.指定掃描目標網站

2.指定連線/網站認證方式

  • 將網站的登入過程錄影
  • 提供掃描時自動化登入
  • TruClient 技術(Event Base)-記錄使用者的動作
  • Session Base-記錄整個網站登入的 Http Request

3.選擇掃描政策

  • 是 WebInspect 在爬行或掃描網頁應用程式時所使用的掃描引擎及攻擊代理的集合
  • 每個組件都有一個特定任務,例如:測試跨站腳本敏感性、建構站點樹狀結構、探查已知的 server 漏洞等

4.其他設定

5.開始掃描

點擊 Scan 開始掃描
即時動態管理介面

6.取得掃描結果

掃描結果提供漏洞及修補說明:

掃描結果
漏洞說明
修補說明
Tags:FortifyWebInspect網站檢測Fortify 實作演練
閱讀更多
*
掌握 Fortify AWB 掃描分析,幫你搞懂程式檢測報告
*
示範如何建置 Fortify ScanCentral SAST 進行集中掃描
*
快速了解 Fortify WebInspect 網頁弱點掃描與服務流程