WebInspect是一款动态应用程序安全测试工具,最初是HP旗下的产品,后经Micro Focus收购,与有名的代码审计工具Fortify同属一个系列。它是通过模拟来自真实环境的攻击行为,来检测漏洞,归纳出漏洞的类型,提供漏洞修复的优先级建议和修复建议。比较方便集成到组织的DevOps流程中,也可以实现实时的动态监控。可以自动化运行,对于误报可以人工标记,误报率相对来说比较少,是一款比较好用的安全测试工具。本文我们就一起来学习一下这款工具的使用流程和方法。
第一步:打开桌面WebInspect应用软件
(可私信我获取使用版本的激活码,体验一下这款工具)
第二步,选择测试规则
第三步, 选择标准测试规则
第四步,验证被测试Web网站
第五步,选择测试参数
1)选择测试方法和策略
2)选择是否模拟系统登录
3)WebInspect检查扫描配置
4)设置已发现的误报及网络通讯分析
第六步,开始执行测试
第七步,查看测试结果
第八步,生成测试报告
(1)执行测试报告生成操作在测试执行页面,当测试执行完成后,点击Reports按钮。
(2)选择需要生成测试报告的历史测试执行记录
(3)选择测试报告需要生成的测试内容
选择测试报告需要生成的测试内容,如Aggregate、Attack Status、Developer Reference等,点击“Finish”按钮。
第九步,查看测试报告
当生成测试报告后,测试工具打开生成的测试报告,可以直接在线查看。
以上就是我们为大家整理的动态安全测试工具WebInspect的使用步骤及说明,后面的文章我们会将市面上常用的几款安全测试工具进行一个比对,分析他们之间的异同点,欢迎大家继续关注。