WebInspect快速启动(中文翻译版)

Start WebInspect

 

 

说明：我对《WebInspect QuickStart.pdf》的前半部分进行了翻译，如下所示：

 

 

 

欢迎WebInspect7.7。本指南旨在让你尽快地“启动和运行起来”，同时介绍业界最好最快的网络应用安全评估工具的主要特点。

 

 

 

开始启动WebInspect
要启动WebInspect软件，请执行下列操作之一：
•点击桌面上的WebInspect软件的快捷方式图标。
•单击开始>所有程序>HP>HP WebInspect>WebInspect软件7.7。

 

 

 

输入许可证信息
HP向您发送了一封包含一个许可证令牌的电子邮件。出现提示时，请输入此令牌和许可证信息。

 

 

 

扫描一个Web站点
1.在WebInspect软件的home选项卡，单击“Start a Web Site Assessment”。(开始一个web站点评价)

 

2.在Start URL框中，输入或选择你想检查站点的完整URL或IP地址。

 

3.如果您需要包括其他服务器，请单击“Allowed hosts”来访问允许主机设置。

 

4.选择“Profile the server to optimize scan settings”(配置服务器来优化扫描设置)来对一个网站进行初步审查，以确定是否需要修改WebInspect软件的设置。

 

5.如果您选择“Restrict to folder”(限制文件夹)，您可以将评估范围限定到你从下拉列表选择的区域中去。

 

6.WebInspect软件，默认情况下，将扫描结果保存在一个以你在“Start URL”框中输入的URL或IP地址来命名的文件中。假如想使用不同的名称，请修改“Scan Description”(扫描描述)。

 

7.在“Assessment Method”(评价方法)组，选择“Automated”(自动化)。

 

8.展开“Scan Options”(扫描选项)面板，然后选择一个自动方法：
a. Crawl and audit (Simultaneously)(抓取和审计（同时）)：
由于WebInspect软件绘制了网站的层次数据结构，它审计每个资源（网页），因为它是被发现的（而不是抓取了整个网站之后，再进行一次审计）。对于非常大的网站，此选项是最有用的，因为在这边抓取可能还没全部完成，内容可能已经改变了。
备注：也就是说抓取的同时，同步进行审计(检查)
b. Crawl and audit (Sequentially) (抓取和审计（按顺序）)：
在这种模式下，WebInspect软件抓取整个网站，测绘网站的层次结构数据，然后从网站的根目录开始，按顺序进行审计。
备注：也就是说抓取全部完成后，再进行审计(检查)
c．Crawl Only(仅检索)：此选项完全绘制了网站的树状结构。当抓取完成之后，你可以(手动)点击“Audit”(审计)来评定一个应用程序的漏洞。
d．Recorded Macro – Crawl with Audit(记录的宏 – 抓取和审计)：
WebInspect软件只审计那些记录在宏下面的和在审计时遭遇到的不遵循任何超链接格式的网址。
e. Audit Only(只有审计)：WebInspect软件使用通过选择的策略来确定弱点风险的一套方法，但不抓取这个网站。该网站上没有链接被密切注意或者审计。

 

9．如果您选择的是Web窗体值提示，那么，当遇到一个HTTP或JavaScript形式，WebInspect软件会扫描暂停，并显示一个窗口，这个窗口允许您输入值以便在这个窗体内进行内部控制。

 

10.假如您选择了“Use macro for entry”(使用宏来进入)，WebInspect软件重放您指定的宏，当宏被记录时，访问每个被访问过的URL地址。然后开始抓取（此时审计可选可不选）宏里面的最后一个session，跟踪遇到的任何链接。所有在最后URL地址之前的sessions不被抓取和审计。假如你选择了“Recorded Macro – Crawl with Audit”(第8项的d)，则此选项不可用。

 

11. 单击“Next”以进到扫描向导的下一步，或者单击“Finished”（启动扫描）。

 

12. 选择一个策略，然后单击“Next”(下一步)。

 

13. 如果服务器需要身份验证，请选择“Assessment requires network authentication”(评估需要网络身份验证)，然后选择一个验证方法并在身份验证凭证区域输入用户名和密码。

 

14. 如果您想使用宏来进行Web窗体验证，那么就选择“Use a login macro for forms authentication”(使用登录宏来进行表单验证)，然后单击省略号按钮来找到具体宏。

 

15. 选择“Use a startup macro”(使用启动宏)，假如你想在使用开始URL开始扫描之前，先检查该应用的一个特别部分。

 

16. 选择“auto-fill Web forms during crawl”(在抓取时自动填充Web表单)，如果你想WebInspect软件在扫描目标站点时，当它遇到各种形式时，该软件能够提交值去进行控制。WebInspect软件将从您使用Web窗体编辑器创建的那个文件中提取值。

 

17. 单击“Next”(下一步)

 

18. 如果目标应用是在代理服务器之后，请选择下列之一：
A． 使用Internet Explorer代理设置（即WebInspect软件应该使用的地址和端口，是您通过选择因特网选项指定的，具体步骤如下：Microsoft Internet Explorer工具菜单，单击连接选项卡，单击局域网设置并选择为我的局域网使用代理服务器）。
B． 指定代理服务器，然后输入IP地址及服务器的端口。
C． 使用高级代理设置，作为默认设置的定义。假如想更改这些参数，单击“Advanced settings”(高级设置)。

 

19．单击“Start Scan”(开始扫描)