数字经济的安全基石

Menu

明鉴®Web应用漏洞扫描系统

领先的Web应用安全评估工具

免费试用
首页 > 产品 > 网络信息安全检测产品 > 明鉴®Web应用漏洞扫描系统
明鉴Web应用漏洞扫描系统

明鉴Web应用漏洞扫描系统(简称“WebScan”)是杭州安恒信息技术股份有限公司在深入分析研究B/S典型应用架构中常见安全漏洞以及流行的攻击技术基础上,研制开发的一款Web应用安全专用评估工具。它能够对Web应用的资产进行识别分类以及对Web应用进行深度弱点探测。通过漏洞产生的原理和渗透测试的方法,快速分析出被测目标所开放的端口服务和对应的协议信息,发现资产暴露面。漏洞库覆盖国内外常见CMS、中间件、操作系统等严重漏洞,帮助用户全面分析Web应用网络环境中存在的安全弱点。
该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,引起世界众多信息安全爱好者的关注;2007年12月安恒发布WebScan2.0,在2008北京奥运会信息安全保障中发挥了积极的作用,获得奥组委的肯定;WebScan3.6版本成功入选工信部安全中心Web应用安全检查工具,并于2009年国庆60周年政府网站安全大检查之际,为近7000家政府网站进行了深度安全评估;WebScan5.0在上海世博会和广州亚运会深圳大运会期间的应用安全保障做出了杰出的贡献,在中国移动集团采购测试中获得第一名的精彩成绩;WebScan6.0版本在公安部领导下的全国政府网站大检查中更是发挥重要作用。
WebScan旨在降低Web应用的风险,使国家利益、社会利益、企业利益乃至个人利益的受损风险降低,广泛适用于“等级保护测评机构、公安、运营商、金融、电力能源、政府、教育”等各领域内的互联网应用、门户网站及内部核心业务系统(如网银、网上营业厅、OSS系统、ERP系统、OA系统等)。
作为公安部等级保护测评中心专用应用安全测评工具,工信部安全中心Web应用安全检查工具,WebScan7.0全面支持OWASP_TOP10_2021检测,可以帮助用户充分了解Web应用存在的安全隐患,建立安全可靠的Web应用服务,改善并提升应用系统抗各类Web应用攻击的能力(如:注入攻击、跨站脚本、文件包含、钓鱼攻击、信息泄漏、恶意编码、表单绕过等),协助用户满足等级保护、PCI、内控审计等规范要求。

荣誉资质

  • 2006年世界安全大会BlackHat和Def-Con上首次发布

  • 奥运会、世博会、亚运会、世界互联网大会、G20峰会、军运会等国际重大会议提供安全评估及服务

  • 2009年入选工信部安全中心Web应用安全检查工具

  • 移动集采连续四届入围,保持连续两届独家入围,误报率和漏报率指标稳居第一

  • 首家通过赛可达实验室认证的Web漏洞扫描产品

  • 协助公安部起草Web扫描产品行业检测标准

  • 协助公安部起草Web扫描产品国家检测标准

产品特点

  • 智能、快速的深度漏洞扫描

    ·采用强大的过滤模块,过滤掉重复或者不必要的网页链接,提高运行效率。
    ·单引擎单位时间的发包速率的可控化,可以有效防止扫描数据量过大影响网站正常运行的问题。
    ·扫描数据实时存储,扫描过程中实时存储扫描数据和结果,不管是由于程序自身引擎中断、进程人为关闭,还是机器断电引起扫描中断,扫描数据都不会丢失,可以进行断点续扫。
    ·支持国际目前主流Web应用类型:
    首家支持国内、国外知名Web应用程序漏洞扫描。
    全面支持Web2.0,支持各类JavaScript脚本解析。
    全面支持FLASH解析。
    支持WAP类及WMLScript脚本类应用系统。
    支持前后端分离的新型网站架构类型,如Angluar、Vue、React。
    支持基于HTTPS应用系统的检测,能够自动获取所有必须的要素,对基于SSL传输的内容进行分析,可对网银、证券交易等基于HTTPS协议的Web应用进行自动安全评估。
    支持所有类型的动态页面。
    支持HTTP 1.0和1.1标准的Web应用系统。

  • 业界首创的准确率“加V”标注

    传统的漏洞扫描产品扫描结果均存在误报的可能,为提升漏洞验证效率和准确率,明鉴Web应用漏洞扫描系统自研漏洞加V技术,实现漏洞自动验证。通过分析安恒SaaS平台上近100万条数据,提升加V与策略优化方案。
    明鉴Web应用漏洞扫描系统支持将扫描的漏洞进行加V标注,被加V的漏洞代表准确率达到90%以上,可帮助用户在大量的漏洞扫描结果中标注已确定的漏洞,针对这些已确定的漏洞进行快速修复,排除风险。

  • 灵活丰富可自定义的漏洞扫描模式

    为扫描任务提供非常丰富的扫描选项,如Web爬行、流量限制、Web检测、主机检测等,用户可根据目标扫描网站的特点以及所在的网络环境,对扫描过程进行定制:
    登录扫描:支持以Cookie、LocalStorage、SessionStorage、自定义请求头的认证方式。
    扫描模式:提供简单扫描(单个域名或IP)和批量扫描(多个域名或IP)。
    扫描范围:提供当前域、整个域、当前页、子路径四种扫描范围的选择。
    扫描深度:根据需要可设置扫描的目录层数和爬虫爬行最大深度。
    智能流控:根据实际的网络连接情况和测试目标的承受能力可启用流量控制对扫描流量进行限制。
    扫描例外:支持路径例外、文件例外两种设置。
    语法区分:可在扫描过程中设定是否区分目录、文件等名称的大小写语法。
    强制检测:支持对单独的可能存在问题的URL进行强制检测。

  • 高准确性

    明鉴Web应用漏洞扫描系统由专业漏洞小组人员确保脚本编写的规范准确,另外我们也采用创新的漏洞加V技术使检测的结果更加准确,大大提高了用户对漏洞的验证效率和降低了验证门槛。

  • 权威漏洞库

    安恒安全研究院是安恒信息科技创新、技术进步及安全研究的重要研究部门,研究院拥有一支在安全技术研究和应用领域优势突出、团结有为、勇于创新的年轻队伍,在安全漏洞研究发掘、Web应用安全及数据库安全问题研究、软件逆向研究等诸多领域积累了大量的研究成果,获得了国内外各种安全机构各类型原创漏洞证书,到目前为止已经独立发现上百个CVE漏洞。安恒安全研究院负责明鉴Web应用漏洞扫描系统的漏洞知识库和检测规则的维护,除定期的每周的升级外,重大漏洞的升级在全球首次发现后当天完成,一般不超过两天。
    依靠专业的研究院团队的研究积累,明鉴Web应用漏洞扫描系统的知识库已经有超过11000条。与CVE、CNNVD漏洞库有很好的关联,并获得国家信息安全漏洞库CNNVD兼容证书。

应用结论

杭州安恒信息技术股份有限公司的核心团队拥有多年互联网应用安全攻防、网络安全审计、数据库安全审计的深厚技术背景,拥有全球领先的具有完全知识产权的安全技术;为明鉴Web应用弱点扫描器的成功推出奠定了有力的基础。是一款深度针对Web应用的远程安全评估系统,由资深安全专家经历数年的时间研发而成,它能够轻松应对各种复杂的Web应用,全面深入发现Web应用中存在的安全弱点,全自动/智能化检测网页中存在的木马。
旨在降低Web应用的风险,降低国家利益、社会利益、企业利益乃至个人利益受损风险,广泛适用于“等级保护测评机构、公安、运营商、金融、电力能源、政府、教育”等等所有涉及Web应用的各个领域。
WebScan 7.0现有的客户涵盖等级保护测评机构、公安、运营商、金融、电力能源、政府、教育等各个领域,众多世界500强企业(如:中国移动、国家电网、中国电信、南方电网、中国联通、Oracle、HP等)都使用WebScan 提升企业内部和外部应用的整体安全性。

相关产品

相关文章

与专家在线沟通, 免费获取专业解决方案

线上咨询

售前

售后

联系我们

咨询电话:400-6059-110

产品试用

即刻预约免费试用,我们将在24小时内联系您

微信咨询