使用WebInspect 10偵測網站系統弱點的簡單步驟
最近幾個月因為專案需求分別進行了網站系統的原始碼檢測(白箱)與弱點偵測(黑箱),搞得人仰馬翻、寢食難安。工具的使用算是很單純,最麻煩的是當測試工具抓到一個問題或弱點後,弄懂問題癥結並找到解決方案非常花時間和腦力,經常都是試著修改再重新跑測試,如果仍然又出現問題就再找資料、再換另一種可能的方法,時間就在反覆摸索、嘗試與釐清問題中度過。如果同一個問題試了多種方法都無法根除、又不清楚後續的修改方向時是最讓人抓狂的了。幸好在與同事們的共同努力下已接近完工階段了。這次使用的檢測工具都是HP的產品:Fortify SCA與WebInspect 10.0,功能很強、費用很高,如果不是客戶支援我們恐怕是用不起...以下是簡單的WebInspect操作要點,雖然只用到它的部份功能,但已足夠專案需求。
Sorry, 很久沒用Google sc…