HP выпустила сканер уязвимостей HP WebInspect Real-Time

Компания HP выпустила утилиту HP WebInspect Real-Time, предназначенную для динамического сканирования приложений на наличие уязвимостей. Отличительной чертой нового продукта является возможность проведения тестов программного кода в режиме реального времени что, по словам разработчиков, максимизирует точность поиска брешей в безопасности. Стоит отметить, что приложение HP WebInspect Real-Time разработано на основе движка HP WebInspect 9.1 и работает в паре с HP Fortify Security Scope.

Один из основателей и главный научный исследователь компании Fortify Software, входящей в состав HP, Брайан Чесс (Brian Chess) заявил: Fortify и HP созданы для того, чтобы уязвимости в программном коде разрабатываемых приложений обнаруживались как можно раньше. На текущий момент с помощью HP WebInspect Real-Time мы совмещаем статичный и динамичный анализ с реализованными внутри одного приложения динамичными тестами безопасности, которые позволяют очень быстро находить и исправлять проблемы.

Как пояснили разработчики, HP WebInspect Real-Time проводит санкционированную атаку на приложение, запуская внешние автоматизированные тесты безопасности. После утилита проводит анализ кода подвергнутого внешней атаке, собирая внутреннюю информацию о приложении. Подобный симбиоз технологий в режиме реального времени обеспечивает более быстрое и точное обнаружение критических уязвимостей. Вместе с тем HP WebInspect предоставляет перечень существующих методов снижения уровня угрозы.

Сканер уязвимостей HP WebInspect Real-Time проверяет:

• Reflected cross-site scripting (XSS)
  
• Persistent XSS
  
• DOM-based XSS
  
• Cross-site request forgery
  
• SQL injection
  
• Blind SQL injection
  
• Buffer overflows
  
• Integer overflows
  
• Log injection
  
• Remote File Include (RFI) injection
  
• Server Side Include (SSI) injection
  
• Operating system command injection
  
• Local File Include (LFI)
  
• Parameter Redirection
  
• Auditing of Redirect Chains
  
• Session strength
  
• Authentication attacks
  
• Insufficient authentication
  
• Insufficient session expiration
  
• Ajax auditing
  
• Flash Analysis
  
• HTTP Header Auditing
  
• Detection of Client-side Technologies
  
• Secure Sockets Layer (SSL) certificate issues
  
• SSL protocols supported
  
• SSL ciphers supported
  
• Server misconfiguration
  
• Directory indexing and enumeration
  
• Denial of service
  
• HTTP response splitting
  
• Windows® 8.3 file name
  
• DOS device handle DoS
  
• Canonicalization attacks
  
• URL redirection attacks
  
• Password auto complete
  
• Cookie security
  
• Custom fuzzing
  
• Path manipulation—traversal
  
• Path truncation
  
• WebDAV auditing
  
• Web services auditing
  
• File enumeration
  
• Information disclosure
  
• Directory and path traversal
  
• Spam gateway detection
  
• Brute force authentication attacks
  
• Known application and platform vulnerabilities
  

HP WebInspect Real-Time также включает в себя следующие дополнительные инструменты:

• Report Designer
  
• SQL injector
  
• Cookie cruncher
  
• Encoder
  
• HTTP editor
  
• Regex editor
  
• Web Fuzzer
  
• Web Proxy
  
• WebBrute
  
• WebDiscovery
  
• Server analyzer
  
• Traffic monitor
  

Подробная информацию о HP WebInspect Real-Time, можно прочитать по следующей ссылке: Datasheet_WebInspect.pdf [315kB, английский].

Чтобы скачать пробную версию HP WebInspect Real-Time нужно заполнить специальную веб-форму на странице HP WebInspect Product Trial.