当前位置: 产品中心 > 明鉴自动化渗透测试平台

明鉴®自动化渗透测试平台

——业界首款全自动自动化渗透测试平台

发展历程

  • 2012年在国内首次提出自动化渗透测试的概念
  • 2013年6月发布国内首款自动化渗透测试产品
  • 2013年12月发布V1.1.0.0稳定版本
  • 2014年1月成功被国内某安全机构采购作为渗透测试装备

  • 产品概述

    明鉴®自动化渗透测试平台(简称:DAS-APENTEST)是通过重新定义所有信息系统IT边界,用自己的规则去解释安全问题,然后再此技术上重新构建起来的渗透测试平台,更是一款自动化、立体化的渗透测试系统。结合社会工程学和智能识别进行安全扫描测试,自动分析漏洞结果,并进行自动化渗透、取证、控制的产品。系统支持Web、网络服务(rdp、ftp)、认证协议(MS-SQL、SMTP)等的漏洞扫描与渗透测试,并且再获取权限之后,进行取证式控制功能,帮助信息安全部门,快速精确的判断危险点,以及风险的危害程度,然后进行快速的安全响应,提高安全收益。

    产品特点

    全自动化渗透

    • 只要输入目标即可开始渗透,自动识别目标操作系统、网络服务等。
    • 自动分析网络服务,自动加载对应的扫描模块(识别到HTTP协议加载Web扫描器)。
    • 自动分析漏洞,自动渗透,获取控制会话,包括基于TCP的控制会话、WebShell、远程管理协议账户口令的获取。
    • 立体化全方位渗透

    • 支持Web漏洞发现以及渗透测试,包括SOAP、以及基于Web2.0的Ajax请求的漏洞发现和渗透测试。
    • 支持MSSQL、FTP、RPC、SSH等网络服务渗透测试,对于一些系统服务,可以直接进行远程溢出。
    • 支持弱口令扫描与渗透测,对于常见的认证协议比如rdp、smb、mssql、oracle等能够进行弱口令扫描,扫描到弱口令之后能够快速进行渗透,获取控制权限。
    • 智能化

    • 智能识别网络环境,对于windows环境只加载windows环境下的相关策略。
    • 对于漏洞信息,进行关联分析,漏洞结合利用大幅度提升渗透成功机率。
    • 结合社会工程学,可将发现到的电话号码、邮箱等加入到弱口令扫描字典。
    • 取证式制功能

    • 支持基于HTTP协议的WebShell模式的管理控制功能,可以对目标执行操作系统命令、管理目标磁盘文件等。
    • 基于TCP的隧道管理控制功能,可以对目标执行操作系统命令、管理磁盘文件,截取操作系统屏幕,枚举进程等。
    • 基于远程管理协议的管理控制功能,如果管理员一样使用管理员账号进行管理。

    典型应用

    基于真实安全风险的需求场景

    很多信息系统,包括业务系统、门户网站等,每天可能都会受到一些攻击;同时面对上级、测评机构等单位的安全检查也多不胜数。那么对于自己的信息系统的真实风险的把握好,对内有助于解决安全与业务的平衡关系,对外有助于摆正姿态阻挡恶意黑客攻击,同时有利于配合相关部门的检查工作。

    网络环境摸底

    使用明鉴自动化渗透测试平台,从内部、外部对信息系统网络进行扫描,能够快速,准备的识别到,网络边界对外开放的的TCP服务(RDP、SSH、MYSQL|ORACLE)、HTTP(S)网站等环境信息,对于网络环境有一个比较好的了解,同时对于边界防火墙有一个积极的反馈测试。

    自动化扫描弱点

    对于识别到的网络服务、Web网站、认证协议,能够进行快速的弱点检查与扫描,自动化的扫描帮助用户省去大量基础的工作,有利于提高工作效率,并且快速的发现弱点。

    渗透测试验证风险

    对于扫描发现的弱点,能够进行自动的渗透测试,最后如果渗透成功,可以进行取证式的控制,包括管理磁盘文件,管理进程服务等。

    基于取证式控制管理需求场景

    国家相关部门,在一些工作中,需要对一些违法信息系统进行调查、取证,由于需要收集证据、保证物证的完整性。这个时候就需要通过渗透测试的技术手段对非法站点进行取证式的控制,摸清情况。

    使用零门槛

    明鉴自动化渗透测试平台,采用傻瓜化设计,只需要填入目标,选择自动识别策略,就可以对目标展开渗透测试,自动扫描弱点,自动加载弱点渗透,渗透成功之后,提供可视化的文件管理控制。对于操作人员使用,可以快速准备的进行渗透测试,而不需要复杂的渗透基础。

    多维度渗透

    明鉴自动化渗透测试平台,支持80%的认证协议的帐户口令破解,支持Web网站的漏洞扫描以及渗透,同时也支持系统服务、软件的远程溢出渗透测试,为渗透成功提供了更高的机率。

    智能化渗透

    明鉴自动化渗透测试平台支持弱点信息关联分析,比以往的渗透产品更智能,对于实际环境中能够组合弱点进行渗透,提供渗透成功率;另外对于扫描过程中发现的电话号码等,会自动加入到扫描字典中,进行口令猜解,大幅度提高成功率。

    (欲了解更多行业客户案例,请联系我们!)