無需聘請黑客！新工具模擬真實攻擊、助你揪出網頁應用保安漏洞

網頁應用程式一直是保安漏洞的主要源頭，根據 2012 HP Cyber Risk Report 的結果顯示，由 2000 年至 2012 年間，六項最多人呈報的漏洞中，有四項便是透過網頁發生。要有效及早發現網頁漏洞，最佳的方法便是聘請黑客，並讓他們來一次徹底的攻擊，這樣你的網站弱點便能被有效判斷出來。

然而許多機構卻缺乏資源、工具及時間以聘請黑客進行保安測試流程。缺乏適當的測試令這些網頁應用程式可能包含易於被攻擊者利用的漏洞。幸好坊間已有不同的工具專門針對網頁應用作漏洞及壓力測試，有些甚至能預先模擬真實世界的攻擊，讓你可輕易得知網站之中的弱點在那裡，從而能及早加強保安，避免日後出現的危機。

其中今次介紹的 HP WebInspect 10.0 便能進行導向測試流程，複製真實世界的攻擊，從而讓機構開發及交付安全的網頁應用程式及網頁服務。HP WebInspect 10.0 是一個自動化及可設定的應用程式保安解決方案，能有效地動態測試網頁應用程式及網頁服務，從而讓管理員輕易識別可被利用的保安漏洞。

透過 HP WebInspect 10.0 管理員將能更簡單的管理測試結果，並在開發階段的早期分配可行的保安情報及修復指引；同時方案亦可讓保安團隊分享保障主要輸入點以防攻擊之最佳實踐，從而改善開發安全應用程式之工作。HP WebInspect 10.0 包括導向掃瞄(Guided Scan)獨特互動測試程序，其建基於適應式元件辨識(Adaptive Component Recognition)技術，能分析現代複雜的網頁應用程式及 JavaScript。

加上善用導向掃瞄技術及本身整合了網頁應用程式防火牆及 HP TippingPoint 防止入侵系統，一來可簡化應用程式層面之保護，並可應付在應用程式製造時發現或存在於第三者應用程式中的漏洞；二來亦可在難以查找測試設定的特製環境中，就指定情況調整測試。此舉可妥善處理複雜的情況，如檢測代理(proxy)伺服器的錯誤設定或網絡認證；同時方案亦包括了工作流程記錄的增強功能，以記錄用戶與應用程式之間的互動情況，及追蹤與所測試之應用程式有連繫的商業程序，從而盡可能減少使用上的困難。