web应用弱点扫描器

明鉴 WEB 应用弱点扫描器 最佳 WEB 应用安全评估工具 产品概述 明鉴 WEB 应用弱点扫描器（简称：MatriXay 5.0）是安恒安全专家团队在深入分析研究 B/S 架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成，该产品 1.0 版本于 2006 年 8 月世界安全大会 BlackHat 和 Def-Con 上首次发布,2.0 版本于 2007 年 12 月 发布,并在 08 奥运会 WEB 安全保障中发挥了重要的作用。2009 年 3.6 版本 成功入选工信部安全中心 Web 应用安全检查工具。与市场上同类产品的不同之处在于：不仅具有精确的“取证式” 扫 描功能，还提供了强大的安全审计、渗透测试功能，误报率和漏报率等各项关键指标均达 到国际领先水平，因此，被评价为“最佳的 WEB 安全评估工具” 。 MatriXay 5.0(2011 版) 旨在降低 WEB 应用的风险，使国家利益、社会利益、企业利益乃至 个人利益的受损风险降低，广泛适用于“等级保护测评机构、公安、运营商、金融、电力能 源、政府、教育”等各领域内的互联网应用、门户网站及内部核心业务系统（如网银、网上 营业厅、OSS 系统、ERP 系统、OA 系统等） 。 作为公安部等级保护测评中心专用应用安全测评工具，工信部安全中心 Web 应用安全检查 工具，MatriXay 5.0 (2011 版) 全面支持 OWASP TOP 10 检测，可以帮助用户充分了解 WEB 应用存在的安全隐患，建立安全可靠的 WEB 应用服务，改善并提升应用系统抗各类 WEB 应用攻击的能力（如：注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、 缓冲区溢出等） ，协助用户满足等级保护、PCI、内控审计等规范要求。 主要功能 o 深度扫描：以 web 漏洞风险为导向 , 通过对 web 应用（包括 WEB2.0、JAVAScript 、FLASH 等）进行深度遍历, 以安全风险管理为基础,支 持各类 web 应用程序的扫描。 o WEB 漏洞检测：提供有丰富的策略包，针对各种 WEB 应用系统以及各种典 型的应用漏洞进行检测（如 SQL 注入、Cookie 注入、XPath 注入、LDAP 注 入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后 台、敏感数据等） 。 o 网页木马检测：对各种挂马方式的网页木马进行全自动、高性能、智能化 分析，并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精 确定位。 o 配置审计：通过当前弱点获取数据库的相关敏感信息，对后台数据库进行 配置审计，如弱口令、弱配置等。 o 渗透测试：通过当前弱点，模拟黑客使用的漏洞发现技术和攻击手段，对 目标 WEB 应用的安全性做出深入分析，并实施无害攻击，取得系统安全威 胁的直接证据。 图 1 产品界面 产品特点 o 全面、深度、准确评估 WEB 应用弱点，有助于提高主动防御能力 支持的 WEB 应用类型 全面支持 WEB 2.0，支持各类 JavaScript 脚本解析 全面支持 FLASH 解析 支持 WAP 类及 WMLScript 脚本类应用系统 支持基于 HTTPS 应用系统的检测 首家支持国内、国外知名 WEB 应用程序漏洞扫描 支持所有类型的动态页面 支持 HTTP 1.0 和 1.1 标准的 Web 应用系统 支持各类认证方式 支持基于支持包括 Basic、 Digest、NTLM 在内的认证方式 支持 HTTP 和 SOCKS 代理，并支持各种代理的认证方式 支持的数据库类型 Oracle、MSSQL、DB2 、Informix、Sybase、Mysql、PostgreSQL、Access、 Ingres 等 支持的弱点类型（包含 OWASP TOP 10：A1-注入攻击、A2-跨站脚本（XSS） 、A3-失效的认 证和会话管理：、A4-不安全的直接对象引用、A5-跨站请求伪造、A6-安全配置错误、A7- 限制 URL 访问失败、 A8-尚未认证的重定向和转发、 A9-不安全的密码储藏、A10- 传输层保 护不足) SQL 注入 XSS 跨站脚本 伪造跨站点请求 网页木马 隐藏字段 表单绕过 AJAX 注入 弱配置 敏感信息泄漏 HIJACK 攻击 弱口令 Xpath 注入 LDAP 注入 框架注入 操作系统命令注入 Flash 源代码泄漏 Flash 跨域攻击 Cookies 注入 敏感文件 第三方软件 其他各类 CGI 漏洞 o 灵活可定义的扫描工作模式 支持普通扫描模式、命令扫描模式 支持边爬行边检测、先爬行后检测、只爬行网站链接、只检测现有 URL 等多种扫描方式 扫描方式：简单模式（单个域名） 、批量模式（多个域名） 扫描范围：当前 URL、当前子域名、当前域名、任何 URL 支持无人值守模式下的全自动扫描 工作方式：主动扫描、被动扫描(Proxy) 扫描深度：支持无限扫描深度 扫描过程可以随时中断/恢复，扫描结果实时存储 支持多任务、多线程、多引擎并行扫描 支持扫描例外设置 支持扫描项目文件加密管理 支持配置文件导入和导出 o 深度智能扫描引擎 全面支持 SSL 自动过滤重复页面 自动检测所有参数 支持网页大小写敏感/不敏感 支持所需网页检测类型设置 支持验证码录制功能 o 独有的“取证” 模式确保评估结果准确可信 o 直观丰富的统计报表 o 完善的结果趋势分析 o 完备丰富的风险评估报告，支持各类格式输出，并可自定义内容 o 提供横纵向的扫描结果对比 o 安装运行无需第三方软件支持 常见 WEB 应用攻击影响分析 漏洞类型 攻击影响 SQL 注入漏洞 数据库信息窃取、篡改、删除 Cookie 注入 数据库信息窃取、篡改、删除，控制服务器 跨站脚本漏洞 用户证书、网站信息、用户信息被盗 缓冲区溢出 攻陷和控制服务器 表单绕过漏洞 攻击者访问禁止访问的目录 文件上传漏洞 主页篡改、数据损坏和传播木马 文件包含 服务器信息窃取、攻陷和控制服务器 网页木马 直接控制网站主机或者借此攻击访问者客户端 MatriXay 5.0(2011 版) 现有的客户涵盖等级保护测评机构、公安、运营商、金融、电力能源、 政府、教育等各个领域，众多世界 500 强企业（如：中国移动、国家电网、中国电信、南 方电网、中国联通、Oracle、HP 等）都使用 MatriXay 提升企业内部和外部应用的整体安全 性。 图 2 任务设置 图 3 扫描结果图 行业应用案例 运营商-某省移动 客户面临的安全问题 o 网络技术日趋成熟，黑客们的注意力从以往对网络服务器的攻击逐步转移 到了对 Web 应用的攻击; o 所有的业务系统（如：营业系统、CBOSS 系统、BBOSS 系统等等）均采用 B/S 的架构，致使企业所面临的风险在不断增加; o WEB 应用系统是否存在程序漏洞，往往是被入侵后才能察觉，如何在攻击 发动之前主动发现 Web 应用程序漏洞? 安恒解决方案 主动防御- 从技术和管理两个层面为某省