美国最权威的RSA大会（2007年1月）研究显示，Web应用安全已超过所有以前网络层安全(如DDos)，逐渐成为最严重、最广泛、危害性最大的安全问题。如：XSS跨站攻击、SQL 注入、恶意代码等。面对如此严重的安全威胁，企业该如何有效应对？

MatriXay 2.0(2008版)是一款针对WEB应用的深度风险评估及主动防御工具，是DBAPPSecurity公司在深入分析研究B/S构架应用系统中典型安全漏洞以及流行的攻击技术基础上研制而成的。它采用攻击技术的原理和渗透性测试的方法，对WEB应用进行深度漏洞探测，可帮助应用开发者和管理者了解应用系统存在的脆弱性，为改善并提高应用系统安全性提供依据，帮助用户建立安全可靠的WEB应用服务，对WEB应用攻击说“不！”

明鉴WEB应用弱点扫描器（MatriXay 2.0(2008版)）于2006年8月的世界安全大会BlackHat和Def-Con上首次发布， 与市场上可见的任何一款同类产品的不同之处在于：它不仅具有非凡的扫描功能，还提供了强大的渗透测试功能，因此，被评价为“最佳的WEB安全评估工具”。

MatriXay 2.0(2008版)的主要功能包括：全局配置、系统管理、项目管理、项目扫描、弱点检测、渗透测试、配置审计和报表管理几个部分。

严正声明：
MatriXay从没有改名为其他版本，亚龙(安恒)公司拥有完整的知识产权, 是亚龙(安恒)信息科技(杭州)有限公司的注册商标，公司保留对非法使用该名称的公司起诉的权利。
比起国外同类产品和国内所谓的MatriXay升级版产品, MatriXay 2.0(2008)版本的优势在于：

全面性(具体列表)

更高准确性(全新的引擎保证了比旧版本更高的准确性和更低的误报率。)

易用性(全新的界面)

新功能(如：木马检测、WEB 2.0等支持。)

 

检测弱点类型包括但不限于：

XSS跨站攻击检测；

SQL 注入检测；

URL重定向检测；

FORM检测(单表逃逸检测)；

FORM弱口令检测

网页木马（恶意代码）检测

数据窃取检测

GOOGLE-HACK检测

中间人攻击检测

oracle密码爆力破解

WebService XPath注入检测

Web 2.0 AJAX注入检测

Cookies 注入检测

杂项：其他各类CGI弱点检测，如：命令注入检测、LDAP注入检测、CFS跨域攻击检测、敏感文件检测、目录遍历检测、远程文件包含检测、应用层拒绝服务检测等等

 

检测数据库类型：

MSSQL/ACCESS/MYSQL/ORACLE/DB2/INFORMIX/SYBASE

 

完整风险评估报告

报告格式：EXCEL文件/PDF文件/HTML文件/CSV文件/文本文件/图像文件

报告模板自定义

 

灵活可定义的扫描工作模式

工作方式：自动扫描、被动扫描(Proxy)

扫描方式：简单模式（单个域名）、批量模式（多个域名）

扫描范围：当前URL、当前子域名、整个域、任何URL

扫描深度：根据需要设置扫描层次

扫描线程：根据实际的网络连接情况和测试目标的承受能力进行设置

扫描例外：同时支持路径例外、文件例外两种设置

 

MatriXay具备以下主要特性：

全面、深度、准确评估WEB应用弱点，有效提高主动防御能力

全面支持SSL的扫描工具

独有的“取证”模式确保评估结果准确可信

完备丰富的风险评估报告

支持自动扫描、被动扫描双重扫描模式

智能扫描引擎

 

产品适用范围

MatriXay旨在降低WEB应用的风险，降低国家利益、社会利益、企业利益乃至个人利益受损风险，广泛适用于“政府、电信、金融、证券、公安、教育、税务、电力、电子商务”等等所有涉及WEB应用的各个领域。

MatriXay现有的客户涵盖电信、移动、 政府、 金融等各个行业，许多世界500强企业（如：Oracle、HP等）都使用MatriXay提升企业WEB应用的整体安全性。

 

深度扫描及渗透测试流程示例

 

Oracle公司安全经理Michael Leigh使用MatriXay产品后给予的评价：

To whom it may concern,

Matrixay is by far one of the best blue teaming and red teaming tool available on the commercial market for assessing vulnerabilities within you web based applications. It’s easy to use interface allows for security departments to delegate the complex task of web application vulnerability assessments into the hands of junior members of the team and know that the results provided are not ridden with false positives. The unique capability of the tool that allows the tool to compromise the applications and attain proof of thecompromise in and of itself is well worth the purchase of the tool. DBappsecurity is the next generation of security assessment tools.

Michael Leigh

Sr. Information Security Manager

Oracle Corporation

 

致所有关注它的人：

MatriXay 是目前为止活跃在商业市场上评估WEB应用风险的最佳的安全工具之一。信息安全管理部门很容易通过界面将复杂的web 应用风险评估工作通过权限管理授权给下级团队成员去执行，MatriXay所提供的扫描结果是精确的。这个工具的独特性在于允许自己对应用软件做出评估并且取得评估的证据，这是一个值得购买的工具。MatriXay 是新一代的安全评估工具。

Michael Leigh

信息安全主管

Oracle公司