明鑑WEB套用弱點掃描器(簡稱:MatriXay5.0)是在深入分析研究B/S架構套用系統中典型安全漏洞以及流行攻擊技術基礎上研製而成,該1.0版本於2006年8月世界安全大會BlackHat和Def-Con上首次發布,2.0版本於2007年12月發布,並在08奧運會WEB安全保障中發揮了重要的作用。
產品概述,主要功能,工具特點,案例,安全問題(運營商),解決方案,
產品概述
2009年3.6版本成功入選工信部安全中心Web套用安全檢查工具。與市場上同類不同之處在於:不僅具有精確的“取證式”掃描功能,還提供了強大的安全審計、滲透測試功能,誤報率和漏報率等各項關鍵指標均達到國際領先水平,因此,被評價為“最佳的WEB安全評估工具”。
MatriXay 5.0(2011版) 旨在降低WEB套用的風險,使國家利益、社會利益、企業利益乃至個人利益的受損風險降低,廣泛適用於“等級保護測評機構、公安、運營商、金融、電力能源、政府、教育”等各領域內的網際網路套用、入口網站及內部核心業務系統(如網銀、網上門市、OSS系統、ERP系統、OA系統等)。
作為公安部等級保護測評中心專用套用安全測評工具,工信部安全中心Web套用安全檢查工具,MatriXay 5.0 (2011版) 全面支持OWASP TOP 10檢測,可以幫助用戶充分了解WEB套用存在的安全隱患,建立安全可靠的WEB套用服務,改善並提升套用系統抗各類WEB套用攻擊的能力(如:注入攻擊、跨站腳本、釣魚攻擊、信息泄漏、惡意編碼、表單繞過、緩衝區溢出等),協助用戶滿足等級保護、PCI、內控審計等規範要求。
主要功能
深度掃描:以web漏洞風險為導向, 通過對web套用(包括WEB2.0、JAVAScript、FLASH等)進行深度遍歷,以安全風險管理為基礎,支持各類web應用程式的掃描。
WEB漏洞檢測:提供有豐富的策略包,針對各種WEB套用系統以及各種典型的套用漏洞進行檢測(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、代碼注入、表單繞過、弱口令、敏感檔案和目錄、管理後台、敏感數據等)。網頁木馬檢測:對各種掛馬方式的網頁木馬進行全自動、高性能、智慧型化分析,並對網頁木馬傳播的病毒類型做出準確剖析和網頁木馬宿主做出精確定位。
配置審計:通過當前弱點獲取資料庫的相關敏感信息,對後台資料庫進行配置審計,如弱口令、弱配置等。
滲透測試:通過當前弱點,模擬黑客使用的漏洞發現技術和攻擊手段,對目標WEB套用的安全性做出深入分析,並實施無害攻擊,取得系統安全威脅的直接證據。
工具特點
全面、深度、準確評估WEB套用弱點,有助於提高主動防禦能力。
1、支持的WEB套用類型:
全面支持WEB 2.0,支持各類JavaScript腳本解析 |
全面支持FLASH解析 |
支持WAP類及WMLScript腳本類套用系統 |
支持基於HTTPS套用系統的檢測 |
支持國內、國外知名WEB應用程式漏洞掃描 |
支持所有類型的動態頁面 |
支持HTTP 1.0和1.1標準的Web套用系統 |
2、支持各類認證方式:
支持基於支持包括Basic、Digest、NTLM在內的認證方式 |
支持HTTP和SOCKS代理,並支持各種代理的認證方式 |
3、支持的資料庫類型
4、支持的弱點類型(包含OWASP TOP 10:A1-注入攻擊、A2-跨站腳本(XSS)、A3-失效的認證和會話管理:、A4-不安全的直接對象引用、A5-跨站請求偽造、A6-安全配置錯誤、A7-限制URL訪問失敗、A8-尚未認證的重定向和轉發、A9-不安全的密碼儲藏、A10-傳輸層保護不足)。
SQL注入 |
XSS跨站腳本 |
偽造跨站點請求 |
網頁木馬 |
隱藏欄位 |
表單繞過 |
AJAX注入 |
弱配置 |
敏感信息泄漏 |
HI-JACK攻擊 |
弱口令 |
Xpath注入 |
LDAP注入 |
框架注入 |
作業系統命令注入 |
Flash原始碼泄漏 |
Flash跨域攻擊 |
Cookies注入 |
敏感檔案 |
第三方軟體 |
其他各類CGI漏洞 |
5、靈活可定義的掃描工作模式:
支持普通掃描模式、命令掃描模式
支持邊爬行邊檢測、先爬行後檢測、只爬行網站連結、只檢測現有URL等多種掃描方式
掃描方式:簡單模式(單個域名)、批量模式(多個域名)
掃描範圍:當前URL、當前子域名、當前域名、任何URL
支持無人值守模式下的全自動掃描
工作方式:主動掃描、被動掃描(Proxy)
掃描深度:支持無限掃描深度
掃描過程可以隨時中斷/恢復,掃描結果實時存儲
支持多任務、多執行緒、多引擎並行掃描
支持掃描例外設定
支持掃描項目檔案加密管理
支持配置檔案導入和導出
6、深度智慧型掃描引擎:
全面支持SSL
自動過濾重複頁面
自動檢測所有參數
支持網頁大小寫敏感/不敏感
支持所需網頁檢測類型設定
支持驗證碼錄製功能
7、獨有的“取證”模式確保評估結果準確可信
8、直觀豐富的統計報表
9、完善的結果趨勢分析
10、完備豐富的風險評估報告,支持各類格式輸出,並可自定義內容
11、提供橫縱向的掃描結果對比
12、安裝運行無需第三方軟體支持
常見WEB套用攻擊影響分析
漏洞類型 | 攻擊影響 |
SQL注入漏洞 | 資料庫信息竊取、篡改、刪除 |
Cookie注入 | 資料庫信息竊取、篡改、刪除,控制伺服器 |
跨站腳本漏洞 | 用戶證書、網站信息、用戶信息被盜 |
緩衝區溢出 | 攻陷和控制伺服器 |
表單繞過漏洞 | 攻擊者訪問禁止訪問的目錄 |
檔案上傳漏洞 | 主頁篡改、數據損壞和傳播木馬 |
檔案包含 | 伺服器信息竊取、攻陷和控制伺服器 |
網頁木馬 | 直接控制網站主機或者藉此攻擊訪問者客戶端 |
MatriXay 5.0(2011版)現有涵蓋等級保護測評機構、公安、運營商、金融、電力能源、政府、教育等各個領域,使用MatriXay 提升內部和外部套用的整體安全性。
任務設定:掃描結果圖:
案例
安全問題(運營商)
網路技術日趨成熟,黑客們的注意力從以往對網路伺服器的攻擊逐步轉移到了對 Web 套用的攻擊;
所有的業務系統(如:營業系統、CBOSS系統、BBOSS系統等等)均採用B/S的架構,致使企業所面臨的風險在不斷增加;
WEB套用系統是否存在程式漏洞,往往是被入侵後才能察覺,如何在攻擊發動之前主動發現Web應用程式漏洞?
解決方案
主動防禦---- 從技術和管理兩個層面為某省移動套用安全保駕護航;
利用WEB套用弱點掃描器建設WEB套用安全掃描平台;
將WEB套用弱點掃描、風險評估納入日常工作流程;
定期檢查WEB套用本身的安全性及網頁上對外連結的可靠性;
定期培訓:黑客攻擊技術、安全防範技術、編碼規範等多方面的技能培訓
