明鉴®Web应用弱点扫描器

明鉴Web应用弱点扫描器(MatriXay)是杭州安恒信息技术有限公司在深入分析研究B/S典型应用架构中常见安全漏洞以及流行的攻击技术基础上,研制开发的一款Web应用安全专用评估工具。
返回列表
1.产品概述
明鉴Web应用弱点扫描器(MatriXay)是杭州安恒信息技术有限公司在深入分析研究B/S典型应用架构中常见安全漏洞以及流行的攻击技术基础上,研制开发的一款Web应用安全专用评估工具。它采用漏洞产生的原理和渗透测试的方法,对Web应用进行深度弱点探测,可帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据,帮助用户建立安全可靠的Web应用服务,对Web应用攻击说“不!”

MatriXay是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成,该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,引起世界众多信息安全爱好者的关注;2007年12月安恒发布MatriXay2.0,在2008北京奥运会信息安全保障中发挥了积极的作用,获得奥组委的肯定;MatriXay3.6版本成功入选工信部安全中心Web应用安全检查工具,并于2009年国庆60周年政府网站安全大检查之际,为近7000家政府网站进行了深度安全评估;2010年发布的MatriXay5.0在上海世博会和广州亚运会深证大运会期间的应用安全保障做出了杰出的贡献,在中国移动集团采购测试中获得第一名的精彩成绩;2013年最新发布的6.0版本在公安部领导下的全国政府网站大检查中更是发挥重要作用。

MatriXay作为一款Web应用安全专用评估工具,不仅具有精确的“取证式”扫描功能,还提供了强大的安全审计、渗透测试功能,误报率和漏报率等各项关键指标均达到国际领先水平,得到了最为广泛的应用和肯定,被业界评价为“最佳的Web安全评估工具”。

MatriXay旨在降低Web应用的风险,使国家利益、社会利益、企业利益乃至个人利益的受损风险降低,广泛适用于“等级保护测评机构、公安、运营商、金融、电力能源、政府、教育”等各领域内的互联网应用、门户网站及内部核心业务系统(如网银、网上营业厅、OSS系统、ERP系统、OA系统等)。

作为公安部等级保护测评中心专用应用安全测评工具,工信部安全中心Web应用安全检查工具,MatriXay6.0全面支持OWASP_TOP10_2013检测,可以帮助用户充分了解Web应用存在的安全隐患,建立安全可靠的Web应用服务,改善并提升应用系统抗各类Web应用攻击的能力(如:注入攻击、跨站脚本、文件包含、钓鱼攻击、信息泄漏、恶意编码、表单绕过等),协助用户满足等级保护、PCI、内控审计等规范要求。

2.主要功能
2.1  软件功能结构

明鉴Web应用弱点扫描器(MatriXay6.0)主要功能包含:项目管理、报表管理、项目扫描、弱点检测、工具、全局配置和系统管理。

产品的功能结构图如下:


图2-1  软件功能结构


2.2 产品功能描述

深度漏洞扫描:

• 支持各类Web应用的深度漏洞扫描,根据风险评估和漏洞扫描的需要对目标应用进行深度遍历,获取应用列表;

• 并发扫描:扫描引擎与扫描界面分离,一个正在运行的主程序可以同时管理多个引擎,每个引擎可支持多个任务的真正并发扫描。

• 定制扫描:为扫描任务提供非常丰富的扫描选项,如爬行、检测、过滤、网络环境等,用户可根据目标扫描网站的特点以及所在的网络环境,对扫描过程进行定制,且可以导出成模板。


图2-2 定制扫描设置


 • 录制功能:系统提供了设置扫描任务中Web页面登录方式。分别为录制、自动提交、直接输入Cookie。


图2-3  登录设置


• 支持Web2.0:使用自主研发的网页执行模块,可以执行网页中的JavaScript脚本获取其中的链接,也可通过正则表达式匹配页面中的链接。
  

• 支持WAP网站扫描:WebScan6.0支持WAP协议以及WMLScript脚本的解析,用户只需要提供链接到WAP网站的网络环境,即可对WAP网站进行扫描。
  

• 支持HTTPS协议:能够自动获取所有必须的要素,对基于SSL传输的内容进行分析,可对网银、证券交易等基于HTTPS协议的Web应用进行自动安全评估。
  

• 支持多种网站认证方式:支持包括Basic、Digest、NTLM在内的认证方式,支持HTTP和SOCKS代理,并支持各种代理的认证方式。
  

• 支持Flash解析:对Flash对象进行完全快速解析,可以以非常快的速度提取Flash对象中的链接。

深度漏洞检测
   

• 安全漏洞检测:支持OWASP TOP 10等主流安全漏洞的自动检测(A1-注入攻击、A2-失效的身份认证和会话管理、A3-跨站脚本(XSS)、A4-不安全的直接对象引用、A5-安全配置错误、A6-敏感数据泄露、A7-功能级访问控制缺失、A8-跨站请求伪造(CSRF)、A9-使用含有已知漏洞的组件、A10-未验证的重定向和转发)。
  

• 网页木马检测:对各种挂马方式的网页木马如Iframe、CSS、JS、SWF、ActiveX等,进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。

模拟渗透测试
  

• 自动取证:通过所发现的应用漏洞,模拟黑客使用的漏洞攻击手段,对目标应用进行深入安全分析,利用沙盒技术实施无害攻击,包括后台数据库中的数据提取、执行控制台命令、获取注册表数据、获取目录树、数据库操作、备份数据库、远程文件下载、文件上传等,取得系统安全威胁的直接证据。
  

• 手工取证:支持对所有扫描结果中的存在的安全漏洞进行手工取证,诸如跨站攻击测试、表单绕过等无害攻击测试等。
  

• 配置审计:通过当前弱点获取数据库的相关敏感信息,对后台数据库进行配置审计,如弱口令、弱配置等。支持的数据库类型包括:Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、Ingres等。

检测结果输出
  

• 实时结果展现:在扫描过程中在任务栏上,实时显示详细的扫描和检测结果统计数据,并根据弱点危害程度、弱点类型展示相应的统计图表,令扫描结果更加直观。
  

• 风险评估报告:提供详细的检测扫描报告,包括扫描的URL信息、漏洞类型、安全加固建议等,对所有弱点的相关背景提供详细描述、引用,以及相应的修复和改进建议。 支持在同一次任务中,如涉及不同管理部门,则生成分部门报告、部门间横向比较的报告;如仅仅涉及不同系统,则生成分系统报告和汇总报告。
支持针对同一网站的多次扫描的报告合成汇总报告、并进行纵向比较。
  

• 报表支持格式:支持PDF、XML、DOC、HTML、XLS等格式的输出。

报告输出模式:
  

• 程序员报表:着重显示与应用程序相关的问题,包括具体漏洞位置(URL)、加固建议等内容。
  

• 管理员报表:着重显示应用的总体安全状况和趋势,包括漏洞数量,漏洞种类等内容。
自身安全控制
  

• 数据实时储存:扫描过程中实时存储扫描数据和结果,不管是由于程序自身引擎中断、进程人为关闭,还是机器断电引起扫描中断,扫描数据都不会丢失,可以进行断点续扫。
  

• 用户管理功能:提供管理员、操作员、审计员三种不同的角色,分配给不同使用需要的用户,合理管理系统的使用权限,防止系统的滥用和误用:
  

• 管理员:拥有系统的所有权限,可以管理用户、配置系统选项。
  

• 操作员:拥有除管理用户、配置系统选项外所有管理员账户的所有权限。
  

• 审计员:只具有查看系统所有用户日志的权限。
  

• 屏幕锁定功能:在扫描过程中,可以在不停止扫描的情况下将锁定屏幕。用户可自行设置系统超时时间,当达到预设时间会自动锁屏,用户离开扫描器运行的机器而无需担心信息泄露以及扫描器被非法使用的问题。
  

• 在线更新功能:可以手动或自动进行在线更新功能,在线更新方式和频率可配置。

2.3  渗透测试流程

渗透测试流程 MatriXay6.0在完成目标应用系统的基础弱点检查之后,可以对其进行自动模拟渗透。以SQL注入为例,MatriXay6.0能够通过所发现的SQL注入点,提取Web应用系统相关数据库的表信息、表结构、字段信息、具体内容等,之后可以进一步对相关表的字段、具体内容等实行操作,包括修改、删除、添加等等。


图2-4图  SQL注入渗透测试流程

3.产品特点
3.1  智能、快速的深度漏洞扫描

  

• 采用强大的过滤模块,过滤掉重复或者不必要的网页链接,提高运行效率。 单引擎单位时间的发包速率的可控化,可以有效防止扫描数据量过大影响网站正常运行的问题。

  

• 扫描数据实时存储,扫描过程中实时存储扫描数据和结果,不管是由于程序自身引擎中断、进程人为关闭,还是机器断电引起扫描中断,扫描数据都不会丢失,可以进行断点续扫。

  

• 扫描引擎与扫描界面分离,一个正在运行的主程序可以同时管理多个引擎。每个引擎可支持多个任务的真正并发扫描,有效提高系统深度扫描速率。


3.2  全面、准确的应用弱点检测

支持OWASP TOP 10等主流安全漏洞(A1-注入攻击、A2-失效的身份认证和会话管理、A3-跨站脚本(XSS)、A4-不安全的直接对象引用、A5-安全配置错误、A6-敏感数据泄露、A7-功能级访问控制缺失、A8-跨站请求伪造(CSRF)、A9-使用含有已知漏洞的组件、A10-未验证的重定向和转发):
SQL注入
XSS跨站脚本
伪造跨站点请求(CSRF)
网页木马
暗链
隐藏字段
表单绕过
命令注入
弱配置
敏感信息泄漏
代码注入
弱口令
任意文件下载
脚本木马
框架注入
链接注入
操作系统命令注入
远程命令执行
Cookie注入
Base64注入
敏感文件
第三方软件
CMS指纹识别
中间件漏洞
其他各类CGI漏洞  

支持国际目前主流Web应用类型:
首家支持国内、国外知名Web应用程序漏洞扫描。
全面支持Web 2.0,支持各类JavaScript脚本解析。
全面支持FLASH解析。
支持WAP类及WMLScript脚本类应用系统。
支持基于HTTPS应用系统的检测,能够自动获取所有必须的要素,对基于SSL传输的内容进行分析,可对网银、证券交易等基于HTTPS协议的Web应用进行自动安全评估。
支持所有类型的动态页面。
支持HTTP 1.0和1.1标准的Web应用系统 。


支持几乎所有主流数据库的配置审计:
Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、Ingres等。


支持基于各类身份认证方式的WEB应用的安全检测:
支持基于支持包括Basic、Digest、NTLM在内的身份认证方式。
支持HTTP和SOCKS代理,并支持各种代理的身份认证方式。
基于证书认证的系统扫描(如:网银)


3.3  业界唯一集成“网页木马自动检测”的检测系统


• 针对各类网页被篡改后植入恶意代码(木马)的自动检测分析,支持各类挂马方式检测如:Iframe、CSS、JS、SWF、ActiveX等等。

  

• 木马分析: 全自动、高性能、智能化, 对所有网页链接进行木马分析。

  

• 木马溯源:利用H3C独特的溯源技术,追查出网页木马传播的病毒、木马程序所在位置并且做出准确剖析。


3.4  独有的“取证”模式确保评估结果准确可信

• 该产品与市场上可见的任何一款同类产品的不同之处在于:它不仅具有非凡的扫描功能,还提供了强大的自动渗透测试功能,通过所发现的应用漏洞,自动模拟黑客使用的漏洞攻击手段,对目标应用进行深入安全分析,利用沙盒技术实施无害攻击,取得系统安全威胁的直接证据。

  

• 同时支持对所有扫描结果中的存在的安全漏洞进行手工取证,诸如跨站攻击测试、表单绕过等无害攻击测试等。


3.5  灵活、丰富可自定义的漏洞扫描模式

为扫描任务提供非常丰富的扫描选项,如爬行、检测、过滤、网络环境等,用户可根据目标扫描网站的特点以及所在的网络环境,对扫描过程进行定制:

  

• 扫描方法:提供主动扫描和被动扫描两种扫描方法,其中被动扫描模式可以作为Web应用开发黑盒测试工具。

  

• 扫描模式:提供漏洞发现优先、扫描速度优先、深度优先、广度优先等扫描模式。

  

• 扫描模式:提供简单扫描(单个域名)和批量扫描(多个域名)。

  

• 扫描范围:提供当前域、整个域、当前页、子路径、全部页五种扫描范围的选择。

  

• 扫描深度:根据需要可设置扫描的深度,支持无限扫描深度。

  

• 扫描线程:根据实际的网络连接情况和测试目标的承受能力可设置扫描线程。

  

• 扫描例外:支持路径例外、文件例外两种设置。

  

• 语法区分:可在扫描过程中设定是否区分目录、文件等名称的大小写语法。

  

• 强制检测:支持对单独的可能存在问题的URL进行强制检测和渗透测试。


3.6  直观、丰富的安全评估结果展现

直观的实时扫描结果展示:在扫描过程中在任务栏上,实时显示详细的扫描和检测结果统计数据,并根据弱点危害程度、弱点类型展示相应的统计图表。

完备丰富的风险评估报告:

  

• 风险评估报告可定制化,在输出报表前可以对报表的各部分数据进行选择,并可以定制报表的页眉、页脚、标题等内容。

  

• 提供详细的检测扫描报告,包括网站的安全风险趋势、存在漏洞的URL信息、漏洞类型、安全加固建议等。

  

• 提供行业合规报表,用户可以选择owsap top10报表或者是等级保护报表。

  

• 提供趋势分析报表,用户可以通过横向和纵向两种比较方式进行比较,对目标系统安全状况及时掌握。

  

• 对所有弱点的相关背景提供详细描述、引用,以及相应的修复和改进建议。


3.7  充分的扫描性能和完善的自身安全考虑

  

• 稳健性:主要的扫描功能由引擎完成,如果引擎出现稳定性问题,主程序可自动重启该引擎并自动继续扫描。

  

• 完整性:扫描过程中实时存储扫描数据和结果,不管是由于程序自身引擎中断、进程人为关闭,还是机器断电引起扫描中断,扫描数据都不会丢失,可以进行断点续扫。

  

• 安全性:通过系统用户管理和屏幕锁定功能实现对系统自身安全和扫描数据的管理,防止系统的滥用、误用,防止扫描数据泄露。

 

• 独立性:安装运行无需任何第三方软件支持。

  

• 实时性:支持自动在线更新,获取最新的Web应用安全检测策略。

4.部分典型客户

安恒信息以“专业的安全服务团队、自主知识产权的安全产品、长期的安全经验积累、实时响应的专家服务模式”赢得了国内/外众多客户的青睐,客户涵盖“金融、运营商、政府、公安、医疗、军工、能源、教育、税务、工商、社保、等级保护测评机构、电子商务及企业”等各个领域,部分国内客户名单如下:


 表4-1部分典型客户案例

5.应用结论
杭州安恒信息技术有限公司的核心团队拥有多年互联网应用安全攻防、网络安全审计、数据库安全审计的深厚技术背景,拥有全球领先的具有完全知识产权的安全技术;为明鉴Web应用弱点扫描器(MatriXay6.0)的成功推出奠定了有力的基础。MatriXay6.0是一款深度针对Web应用的远程安全评估系统,由资深安全专家经历数年的时间研发而成,它能够轻松应对各种复杂的Web应用,全面深入发现Web应用中存在的安全弱点,全自动/智能化检测网页中存在的木马。 MatriXay旨在降低Web应用的风险,降低国家利益、社会利益、企业利益乃至个人利益受损风险,广泛适用于“等级保护测评机构、公安、运营商、金融、电力能源、政府、教育”等等所有涉及Web应用的各个领域。 MatriXay 6.0现有的客户涵盖等级保护测评机构、公安、运营商、金融、电力能源、政府、教育等各个领域,众多世界500强企业(如:中国移动、国家电网、中国电信、南方电网、中国联通、Oracle、HP等)都使用MatriXay 提升企业内部和外部应用的整体安全性。

相关案例

CASES

杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |