English
联系我们

MatriXay 3.0(2009版)

当前位置:产品中心 > 明鉴应用弱点扫描器

产品概述:

明鉴TMWEB应用弱点扫描器(简称:MatriXay 3.0)是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成,该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月 发布,并在08奥运WEB安全保障中发挥了重要的作用。与市场上同类产品的不同之处在于:不仅具有非凡的扫描功能,还提供了强大的渗透测试、网页木马检测功能。因此,被评价为“最佳的WEB安全评估工具”。

MatriXay 3.0(2009版) 旨在降低WEB应用的风险,使国家利益、社会利益、企业利益乃至个人利益的受损风险降低,广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、等级保护测评机构、教育、电子商务及企业”等各领域的网站和内部B/S系统(如OSS系统、ERP系统、OA系统等)。

作为公安部、浙江省信息安全等级保护专用应用安全测评工具,MatriXay 3.0 (2009版)可以帮助用户充分了解WEB应用存在的安全隐患,建立安全可靠的WEB应用服务,改善并提升应用系统抗各类WEB应用攻击的能力(如:注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等)。

MatriXay 2.8(2009版)包装图

严正声明:
MatriXay从没有改名为其他版本,亚龙(安恒)公司拥有完整的知识产权, 是亚龙(安恒)信息科技(杭州)有限公司的注册商标,公司保留对非法使用该名称的公司起诉的权利。
比起国外同类产品和国内所谓的MatriXay升级版产品, MatriXay 3.0(2009)版本的优势在于:

  • 全面性(具体列表)
  • 更高准确性(全新的引擎保证了比旧版本更高的准确性和更低的误报率。)
  • 易用性(全新的界面)
  • 新功能(如:木马检测、WEB 2.0等支持。)

 

主要功能:

  • 深度扫描:以风险为导向对WEB应用进行深度遍历,获得后台数据库信息及网站列表;
  • WEB漏洞检测:对各类典型Web漏洞(如:SQL注入、Xpath注入、XSS、表单绕过、表单弱口令、各类CGI弱点等)进行深度检测;
  • 网页木马检测:对各种挂马方式的网页木马进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位
  • 渗透测试:通过当前弱点,完全模拟黑客使用的漏洞发现技术和攻击手段,对目标WEB应用的安全性做出深入分析,并实施无害攻击,取得系统安全威胁的直接证据
  • 配置审计:通过当前弱点,模拟黑客攻击,实现数据库的审计功能,获得后台数据库连接信息、数据库实例名、数据库版本、数据字典等配置信息

 

产品特点

  • 全面、深度、准确评估WEB应用弱点,有效提高主动防御能力

    支持的WEB应用类型:
    • 支持所有类型的动态页面
    • 支持HTTP 1.0和1.1标准的Web应用系统
    • 支持基于NTLM、Cookie、证书认证方式的Web应用系统安全扫描
    • 支持基于HTTPS应用系统的检测
    支持的弱点类型:
    • XSS跨站脚本检测
    • SQL注入检测
    • 网页木马检测
    • FORM检测
    • AJAX注入检测
    • 中间人攻击检测
    • FORM弱口令检测
    • Xpath注入检测
    • GOOGLE-HACK检测
    • 数据窃取检测
    • Cookies注入检测
    • 其他各类CGI漏洞检测
    支持的数据库类型:
    • Oracle
    • MSSQL
    • DB2
    • Informix
    • Sybase
    • Mysql
    • PostgreSQL
    • Access
    • ...

  • 灵活可定义的扫描工作模式

    • 支持先爬行后检测、只检测现有URL、只爬行网站等多种扫描方式
    • 扫描方式:简单模式(单个域名)、批量模式(多个域名)
    • 扫描范围:当前URL、当前子域名、当前域名、任何URL
    • 支持无人值守模式下的全模式自动扫描
    • 工作方式:主动扫描、被动扫描(Proxy)
    • 扫描深度:支持无限扫描深度
    • 扫描过程可以随时中断/恢复
    • 支持多任务、多线程扫描
    • 支持任意扫描例外设置

  • 深度智能扫描引擎

    • 全面支持SSL
    • 自动过滤重复页面
    • 自动检测所有参数
    • 支持网页大小写敏感/不敏感
    • 根据用户配置自动过滤动态页面的重复参数
  • 独有的“取证”模式确保评估结果准确可信
  • 支持10余种数据库基线审计
  • 完备丰富的风险评估报告
  • 风险评估报告支持各类文件格式,并可全面自定义内容
  • 安装运行无需第三方软件支持

 

常见WEB应用攻击影响分析:

漏洞类型 攻击影响
网页木马 直接控制网站主机或者借此攻击访问者客户端
SQL注入漏洞 数据库信息窃取、篡改、删除
Cookie注入 数据库信息窃取、篡改、删除,控制服务器
跨站脚本漏洞 用户证书、网站信息、用户信息被盗
缓冲区溢出 攻陷和控制服务器
表单绕过漏洞 攻击者访问禁止访问的目录
文件上传漏洞 主页篡改、数据损坏和传播木马
文件包含 服务器信息窃取、攻陷和控制服务器

MatriXay 3.0(2009版)现有的客户涵盖政府、运营商、公安、税务、工商、等级保护测评机构、教育、电子商务及企业等各个领域,众多世界500强企业(如:Oracle、HP等)都使用MatriXay 提升企业内部和外部应用的整体安全性。

MatriXay 2.8(2009版)界面截图

MatriXay 2.8(2009版)报表截图

 

行业应用案例

运营商----某省移动
客户面临的安全问题

  • 网络技术日趋成熟,黑客们的注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击
  • 所有的业务系统(如:营业系统、CBOSS系统、BBOSS系统等等)均采用B/S的架构,致使企业所面临的风险在不断增加
  • WEB应用系统是否存在程序漏洞,往往是被入侵后才能察觉,如何在攻击发动之前主动发现Web应用程序漏洞?

安恒解决方案:
主动防御---- 从技术和管理两个层面为某省移动应用安全保驾护航

  • 利用安恒WEB应用弱点扫描系统(MatriXay 3.0)建设WEB应用安全扫描平台
  • 将WEB应用弱点扫描、风险评估纳入日常工作流程
  • 定期检查WEB应用本身的安全性及网页上对外链接的可靠性
  • 定期培训:黑客攻击技术、安全防范技术、编码规范等多方面的技能培训

部分典型客户名单

  • 公安部第一研究所
  • 公安部第三研究所
  • 上海东方网
  • 盛大网络
  • 浙江省公安厅
  • 浙江省电子产品检验所
  • 浙江省地方税务局
  • 浙江大学
  • 浙江移动
  • 温州电信
  • 运城市公安局
  • 义乌市公安局
  • 温州市公安局
  • 浙江网通
  • 杭州安平等保信息安全评估咨询有限公司
  • 浙江省发展信息安全评估有限公司
  • ...

 

索取详细资料,请联系 >>

亚龙(安恒)信息科技(杭州)有限公司 www.dbappsecurity.com.cn 版权所有 2006-2009
浙ICP备07011135号
本站关键词:数据库审计 | 网页防篡改 | WEB防火墙