明鑑WEB套用弱點掃描器(簡稱:MatriXay 5.0),是安恆安全專家團隊在深入分析研究B/S架構套用系統中典型安全漏洞以及流行攻擊技術基礎上研製而成,該產品1.0版本於2006年8月世界安全大會BlackHat和Def-Con上首次發布,2.0版本於2007年12月發布,並在08奧運會WEB安全保障中發揮了重要的作用。2009年 3.6版本成功入選工信部安全中心WEB套用安全檢查工具。與市場上同類產品的不同之處在於:不僅具有精確的“取證式”掃描功能,還提供了強大的安全審計、滲透測試功能,誤報率和漏報率等各項關鍵指標均達到國際領先水平,因此,被評價為“最佳的WEB安全評估工具”。WEB套用弱點掃描器是安恆安全專家團隊在深入分析研究B/S架構套用系統中典型安全漏洞以及流行攻擊技術基礎上研製而成。
基本介紹
- 中文名:WEB套用弱點掃描器
- 外文名:MatriXay 5.0
- 研發:安恆安全專家團隊
- 套用:奧運會WEB安全保障
產品概述,主要功能,產品特點,
產品概述
MatriXay 5.0旨在降低WEB套用的風險,使國家利益、社會利益、企業利益乃至個人利益的受損風險降低,廣泛適用於“等級保護測評機構、公安、運營商、金融、電力能源、政府、教育”等各領域內的網際網路套用、入口網站及內部核心業務系統(如網銀、網上門市、OSS系統、ERP系統、OA系統等)。
作為公安部等級保護測評中心專用套用安全測評工具,工信部安全中心WEB套用安全檢查工具,MatriXay 5.0全面支持OWASP TOP 10檢測,可以幫助用戶充分了解WEB套用存在的安全隱患,建立安全可靠的WEB套用服務,改善並提升套用系統抗各類WEB套用攻擊的能力(如:注入攻擊、跨站腳本、釣魚攻擊、信息泄漏、惡意編碼、表單繞過、緩衝區溢出等),協助用戶滿足等級保護、PCI、內控審計等規範要求。
主要功能
●深度掃描:以WEB漏洞風險為導向, 通過對WEB套用(包括WEB2.0、JAVAScript、FLASH等)進行深度遍歷,以安全風險管理為基礎,支持各類WEB應用程式的掃描。
●WEB漏洞檢測:提供有豐富的策略包,針對各種WEB套用系統以及各種典型的套用漏洞進行檢測(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、代碼注入、表單繞過、弱口令、敏感檔案和目錄、管理後台、敏感數據等)。
●配置審計:通過當前弱點獲取資料庫的相關敏感信息,對後台資料庫進行配置審計,如弱口令、弱配置等。
產品界面產品特點
●全面、深度、準確評估WEB套用弱點,有助於提高主動防禦能力
▲支持的WEB套用類型
全面支持WEB 2.0,支持各類JavaScript腳本解析
全面支持FLASH解析
支持WAP類及WMLScript腳本類套用系統
支持基於HTTPS套用系統的檢測
首家支持國內、國外知名WEB應用程式漏洞掃描
支持所有類型的動態頁面
支持HTTP 1.0和1.1標準的WEB套用系統
▲支持各類認證方式
支持基於支持包括Basic、Digest、NTLM在內的認證方式
支持HTTP和SOCKS代理,並支持各種代理的認證方式。
▲支持的資料庫類型
Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、 Ingres等
▲ 支持的弱點類型(包含OWASP TOP 10:A1-注入攻擊、A2-跨站腳本(XSS)、A3-失效的認證和會話管理:、A4-不安全的直接對象引用、A5-跨站請求偽造、A6-安全配置錯誤、A7-限制URL訪問失敗、A8-尚未認證的重定向和轉發、A9-不安全的密碼儲藏、A10-傳輸層保護不足):
SQL注入、XSS跨站腳本、偽造跨站點請求(CSRF)、網頁木馬、隱藏欄位、表單繞過、AJAX注入、弱配置 、敏感信息泄漏、 HI-JACK攻擊、弱口令、Xpath注入、 LDAP注入、框架注入、作業系統命令注入、 Flash原始碼泄漏、Flash跨域攻擊、Cookie注入、 敏感檔案、第三方軟體、其他各類CGI漏洞
●靈活可定義的掃描工作模式
支持普通掃描模式、命令掃描模式
支持邊爬行邊檢測、先爬行後檢測、只爬行網站連結、只檢測現有URL等多種掃描方式
掃描方式:簡單模式(單個域名)、批量模式(多個域名)
掃描範圍:當前URL、當前子域名、當前域名、任何URL
支持無人值守模式下的全自動掃描
工作方式:主動掃描、被動掃描(Proxy)
掃描深度:支持無限掃描深度
掃描過程可以隨時中斷/恢復,掃描結果實時存儲
支持多任務、多執行緒、多引擎並行掃描
支持掃描例外設定
支持掃描項目檔案加密管理
支持配置檔案導入和導出
●深度智慧型掃描引擎
全面支持SSL
自動過濾重複頁面
自動檢測所有參數
支持網頁大小寫敏感/不敏感
支持所需網頁檢測類型設定
支持驗證碼錄製功能
●獨有的“取證”模式確保評估結果準確可信
●直觀豐富的統計報表
●完善的結果趨勢分析
●完備豐富的風險評估報告,支持各類格式輸出,並可自定義內容
●提供橫縱向的掃描結果對比
●安裝運行無需第三方軟體支持
常見WEB套用攻擊影響
漏洞類型 | 攻擊影響 |
SQL注入漏洞 | 資料庫信息竊取、篡改、刪除 |
Cookie注入 | 資料庫信息竊取、篡改、刪除,控制伺服器 |
跨站腳本漏洞 | 用戶證書、網站信息、用戶信息被盜 |
緩衝區溢出 | 攻陷和控制伺服器 |
表單繞過漏洞 | 攻擊者訪問禁止訪問的目錄 |
檔案上傳漏洞 | 主頁篡改、數據損壞和傳播木馬 |
檔案包含 | 伺服器信息竊取、攻陷和控制伺服器 |
網頁木馬 | 直接控制網站主機或者藉此攻擊訪問者客戶端 |
