最佳WEB应用安全评估工具

 

产品概述：

明鉴^TMWEB应用弱点扫描器（简称：MatriXay 5.0）是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成，该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月 发布,并在08奥运WEB安全保障中发挥了重要的作用。2009年3.6版本 成功入选工信部安全中心运营商安全Web和数据库安全检查工具。与市场上同类产品的不同之处在于：不仅具有非凡的扫描功能，还提供了强大的渗透测试、网页木马检测功能。因此，被评价为“最佳的WEB安全评估工具”。
MatriXay 5.0(2010版) 旨在降低WEB应用的风险，使国家利益、社会利益、企业利益乃至个人利益的受损风险降低，广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、等级保护测评机构、教育、电子商务及企业”等各领域的网站和内部B/S系统（如OSS系统、ERP系统、OA系统等）。

作为公安部等级保护测评中心专用应用安全测评工具，工信部安全中心运营商安全Web和数据库安全检查工具，MatriXay 5.0 (2010版)可以帮助用户充分了解WEB应用存在的安全隐患，建立安全可靠的WEB应用服务，改善并提升应用系统抗各类WEB应用攻击的能力（如：注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等）。

 

主要功能：

• 深度扫描：以风险为导向对WEB应用进行深度遍历，获得后台数据库信息及WEB应用列表；
• WEB漏洞检测：对各类典型Web漏洞（如：SQL注入、Xpath注入、XSS、表单绕过、表单弱口令、各类CGI弱点等）进行深度检测；
• 网页木马检测：对各种挂马方式的网页木马进行全自动、高性能、智能化分析，并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位；
• 渗透测试：通过当前弱点，完全模拟黑客使用的漏洞发现技术和攻击手段，对目标WEB应用的安全性做出深入分析，并实施无害攻击，取得系统安全威胁的直接证据；
• 配置审计：通过当前弱点，模拟黑客攻击，实现数据库的审计功能，获得后台数据库连接信息、数据库实例名、数据库版本、数据字典等配置信息；

 

产品特点：

• 全面、深度、准确评估WEB应用弱点，有效提高主动防御能力

  支持的WEB应用类型

  • 支持所有类型的动态页面
  • 支持HTTP 1.0和1.1标准的Web应用系统
  • 支持基于NTLM、Cookie、证书认证方式的Web应用系统安全扫描
  • 支持基于HTTPS应用系统的检测
  支持的数据库类型：

  • Oracle
  • MSSQL
  • DB2
  • Informix
  • Sybase
  • Mysql
  • PostgreSQL
  • Access
  • Ingres

  支持的弱点类型：

  • SQL注入检测
  • XSS跨站脚本检测
  • 伪造跨站点请求检测
  • 网页木马检测
  • 隐藏字段检测
  • 第三方软件误配置检测
  • 表单绕过检测
  • AJAX注入检测
  • 弱配置检测
  • 敏感信息泄漏检测
  • HI－JACK攻击检测
  • 表单弱口令检测
  • Xpath注入检测
  • 数据窃取检测
  • Cookies注入检测
  • 其他各类CGI漏洞检测

• 灵活可定义的扫描工作模式

  • 支持先爬行后检测、只检测现有URL、只爬行网站等多种扫描方式
  • 扫描方式：简单模式（单个域名）、批量模式（多个域名）
  • 扫描范围：当前URL、当前子域名、当前域名、任何URL
  • 支持无人值守模式下的全模式自动扫描
  • 工作方式：主动扫描、被动扫描(Proxy)
  • 扫描深度：支持无限扫描深度
  • 扫描过程可以随时中断/恢复
  • 支持多任务、多线程扫描
  • 支持任意扫描例外设置

• 深度智能扫描引擎

  • 全面支持SSL
  • 自动过滤重复页面
  • 自动检测所有参数
  • 支持网页大小写敏感/不敏感
  • 根据用户配置自动过滤动态页面的重复参数
• 独有的“取证”模式确保评估结果准确可信
• 支持多种数据库基线审计
• 完备丰富的风险评估报告
• 风险评估报告支持各类文件格式，并可全面自定义内容
• 安装运行无需第三方软件支持

 

常见WEB应用攻击影响分析：

漏洞类型	攻击影响
网页木马	直接控制网站主机或者借此攻击访问者客户端
SQL注入漏洞	数据库信息窃取、篡改、删除
Cookie注入	数据库信息窃取、篡改、删除，控制服务器
跨站脚本漏洞	用户证书、网站信息、用户信息被盗
缓冲区溢出	攻陷和控制服务器
表单绕过漏洞	攻击者访问禁止访问的目录
文件上传漏洞	主页篡改、数据损坏和传播木马
文件包含	服务器信息窃取、攻陷和控制服务器

MatriXay 5.0(2010版)现有的客户涵盖政府、运营商、公安、税务、工商、等级保护测评机构、教育、电子商务及企业等各个领域，众多世界500强企业（如：Oracle、HP等）都使用MatriXay 提升企业内部和外部应用的整体安全性。

 

行业应用案例

运营商----某省移动

客户面临的安全问题

• 网络技术日趋成熟，黑客们的注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击
• 所有的业务系统（如：营业系统、CBOSS系统、BBOSS系统等等）均采用B/S的架构，致使企业所面临的风险在不断增加
• WEB应用系统是否存在程序漏洞，往往是被入侵后才能察觉，如何在攻击发动之前主动发现Web应用程序漏洞?

安恒解决方案：

主动防御---- 从技术和管理两个层面为某省移动应用安全保驾护航

• 利用安恒WEB应用弱点扫描器建设WEB应用安全扫描平台
• 将WEB应用弱点扫描、风险评估纳入日常工作流程
• 定期检查WEB应用本身的安全性及网页上对外链接的可靠性
• 定期培训：黑客攻击技术、安全防范技术、编码规范等多方面的技能培训

安恒信息以“专业的安全服务团队、自主知识产权的安全产品、长期的安全经验积累、实时响应的专家服务模式”赢得了国内/外众多客户的青睐，客户涵盖“金融、运营商、政府、公安、能源、教育、税务、工商、社保、等级保护测评机构、电子商务及企业”等各个领域，部分国内客户名单如下：

运营商

• 北京电信研究院
• 上海移动
• 江苏移动
• 浙江移动
• 浙江联通

政府

• 国家计算机网络与信息安全管理中心
• 中国科学院计算机网络信息中心

公安

• 公安部十一局
• 浙江省公安厅
• 北京市公安局
• 天津市公安局
• 山东省公安厅

能源

• 中国电力科学研究院
• 国网电力科学研究院
• 上海电力

教育

• 浙江大学

税务

• 浙江省国家税务局

等保评估/安全服务机构

• 公安部第一研究所
• 公安部第三研究所
• 浙江省电子产品检验所
• 江西省电子信息产品监督检验院
• 山东省电子产品监督检验所
• 江苏省信息安全测评中心

电子商务企业

• 上海东方网
• 盛大网络

……

 

索取详细资料,请联系我们 >>