【51CTO.com 綜合消息】1 當前WEB應用面臨的主要安全威脅

美國最權威的RSA大會研究顯示，Web應用安全已超過所有以前網絡層安全(如DDos)，逐漸成為最嚴重、最廣泛、危害性最大的安全問題。WEB安全的挑戰主要來自以下幾個方面：

◆XSS跨站攻擊； 

◆SQL 注入；  

◆網絡釣魚； 

◆惡意代碼； 

◆偽造ARP報文； 

◆RootKit隱身技術等等；

據國家計算機網絡應急技術處理協調中心的統計調查顯示，2008年中國的互聯網安全狀況不容樂觀，各種網絡安全事件與去年同期相比都有明顯增加、被植入木馬的主機數量大幅攀升。中心通過技術平臺共捕獲約90 萬個惡意代碼，比去年同期增長62.5%；網頁篡改事件和網絡仿冒事件同比增長分別是23.7%和38%；木馬控制端IP地址總數為280068個，被控制端IP地總數1485868個。

與此同時，攻擊者從技術上針對不同網站所采用了不同的攻擊方式以達到攻擊目的，在過程中其利益趨勢非常明顯。對于政府類或安全管理相關網站，攻擊者主要采用篡改網頁、放置惡意代碼等攻擊形式，干擾正常業務的開展（如利用網絡釣魚和網址嫁接等對金融機構、網上交易等站點進行網絡仿冒）、蓄意破壞政府或企業形象，嚴重的導致網站被迫停止服務。對于個人用戶，攻擊者更多的是通過用戶身份竊取（如：利用間諜軟件和木馬程序等）手段，偷取用戶游戲賬號、銀行賬號、密碼等，竊取用戶的私有財產。

如此的安全狀況，給WEB應用系統的穩定運行帶來了前所未有的壓力，WEB應用系統的安全已經成為了目前迫切需要解決的問題。

然而，面對如此嚴重的安全威脅，目前市場缺少相應的安全解決方案有效應對。

基于此，杭州安恒信息技術有限公司推出了全球領先的WEB應用弱點評估工具—明鑒TMWEB應用弱點掃描器（MatriXay），為您的WEB應用提供安全風險評估和主動防御工具。#p#

2 產品概述

明鑒TMWEB應用弱點掃描器（MatriXay）是杭州安恒信息技術有限公司在深入分析研究WEB-數據庫構架應用系統中典型安全漏洞以及流行的攻擊技術基礎上，研制開發的一款WEB應用安全評估工具。它采用攻擊技術的原理和滲透性測試的方法，對WEB應用進行深度漏洞探測，可幫助應用開發者和管理者了解應用系統存在的脆弱性，為改善并提高應用系統安全性提供依據，幫助用戶建立安全可靠的WEB應用服務，對WEB應用攻擊說“不！”

明鑒TMWEB應用弱點掃描器（簡稱：MatriXay 3.6）是安恒安全專家團隊在深入分析研究B/S架構應用系統中典型安全漏洞以及流行攻擊技術基礎上研制而成，該產品1.0版本于2006年8月世界安全大會BlackHat和Def-Con上首次發布,2.0版本于2007年12月 發布,并在08奧運WEB安全保障中發揮了重要的作用。與市場上同類產品的不同之處在于：不僅具有非凡的掃描功能，還提供了強大的滲透測試、網頁木馬檢測功能。因此，被評價為“最佳的WEB安全評估工具”。

MatriXay 3.6(2009版) 旨在降低WEB應用的風險，使國家利益、社會利益、企業利益乃至個人利益的受損風險降低，廣泛適用于“政府、金融、運營商、公安、能源、稅務、工商、社保、交通、等級保護測評機構、教育、電子商務及企業”等各領域的網站和內部B/S系統（如OSS系統、ERP系統、OA系統等）。

作為公安部等級保護測評中心專用應用安全測評工具，工信部安全中心運營商安全Web和數據庫安全檢查工具，MatriXay  3.6 (2009版)可以幫助用戶充分了解WEB應用存在的安全隱患，建立安全可靠的WEB應用服務，改善并提升應用系統抗各類WEB應用攻擊的能力（如：注入攻擊、跨站腳本、釣魚攻擊、信息泄漏、惡意編碼、表單繞過、緩沖區溢出等）。#p#

3 主要功能

3.1 軟件功能結構

明鑒WEB應用弱點掃描器（MatriXay）主要功能包含：全局配置，系統管理，項目管理，項目掃描、弱點檢測，滲透測試、配置審計和報表管理。

產品的功能結構圖如下：  

3.2 功能描述  

◆深度掃描：以風險為導向對WEB應用進行深度遍歷，獲得后臺數據庫信息及WEB應用列表  

◆WEB漏洞檢測：對各類典型Web漏洞（如：SQL注入、Xpath注入、XSS、表單繞過、表單弱口令、各類CGI弱點、網頁木馬、跨站占請求偽造等）進行深度檢測 

◆網頁木馬檢測：對各種掛馬方式的網頁木馬進行全自動、高性能、智能化分析，并對網頁木馬傳播的病毒類型做出準確剖析和網頁木馬宿主做出精確定位? 

◆滲透測試：通過當前弱點，完全模擬黑客使用的漏洞發現技術和攻擊手段，對目標WEB應用的安全性做出深入分析，并實施無害攻擊，取得系統安全威脅的直接證據  

◆配置審計：通過當前弱點，模擬黑客攻擊，實現數據庫的審計功能，獲得后臺數據庫連接信息、數據庫實例名、數據庫版本、數據字典等配置信息  

◆檢測數據庫類型：MSSQL/ACCESS/MYSQL/ORACLE/DB2/INFORMIX/SYBASE ? 

◆完整風險評估報告：報告格式：提供詳細的檢測掃描報告，包括掃描的URL信息、漏洞類型、安全加固建議等，報表格式支持PDF、XML、HTML、MHT、DOC、XLS、RPF等。  

◆報告模式：   

◆程序員報表：用于顯示與應用相關的問題，包括具體漏洞位置、加固建議等內容。   

◆管理員報表：用于顯示基礎架構存在的問題，包括漏洞數量，漏洞種類等內容。  

◆掃描模式：客戶可以靈活選擇掃描器以下工作模式：   

◆工作方式：自動掃描、被動掃描(Proxy)  

◆掃描方式：簡單模式（單個域名）、批量模式（多個域名）   

◆掃描范圍：當前URL、當前子域名、整個域、任何URL   

◆掃描深度：根據需要設置掃描層次   

◆掃描線程：根據實際的網絡連接情況和測試目標的承受能力進行設置   

◆掃描例外：同時支持路徑例外、文件例外兩種設置   

◆大小寫區分：可在掃描過程中區分目錄、文件等大小寫設定   

◆強制檢測URL：可設定強制檢測的URL地址   

◆Flash支持：支持首頁為FLASH跳轉等頁面爬行  

3.3 深度掃描及滲透測試流程舉例  

 #p#

4 產品特點  

◆全面、深度、準確評估WEB應用弱點，有效提高主動防御能力

系統通過網站遍歷，對目標網站進行完整掃描，可全面、深度、準確檢測WEB應用安全弱點，如XSS跨站腳本,SQL注入，網站木馬等主要安全威脅，為WEB應用提供全方位主動保護。 

◆全面支持SSL的掃描工具

能夠自動獲取所有必須的要素，對基于SSL傳輸的內容進行分析，可對網銀等基于HTTPS協議的WEB應用進行安全評估。

◆業界唯一集成“網頁木馬自動檢測”的掃描軟件   

◆針對各類網頁被篡改后植入惡意代碼(木馬)的自動檢測分析，支持各類掛馬方式檢測如：Iframe、CSS、JS、SWF、ActiveX等等。   

◆木馬分析: 全自動、高性能、智能化, 對所有網頁鏈接進行木馬分析。   

◆木馬溯源：利用安恒獨特的溯源技術，追查出網頁木馬傳播的病毒、木馬程序所在位置并且做出準確剖析。 

◆獨有的“取證”模式確保評估結果準確可信

明鑒WEB應用弱點掃描器與市場上可見的任何一款同類產品的不同之處在于：它不僅具有非凡的掃描功能，還提供了強大的滲透測試功能。掃描策略精確針對各個數據庫系統特點，通過發現的弱點并進行滲透測試取得弱點存在的直接證據，從而確保最終報告風險漏洞存在的不可抵賴性。 

◆完備豐富的風險評估報告   

◆掃描結果通過完整的評估報告方式呈現給用戶   

◆評估報告提供相關弱點分析和分級并提出相應加固建議方案  

◆支持“雙模”掃描模式，工具靈活應用   

◆全自動地進行主動模式掃描模式   

◆被動掃描模式（Proxy），可以作為WEB應用開發黑盒測試工具  

◆智能掃描引擎

支持無限代理服務器（包括HTTP和HTTPS），并且能夠動態地進行選擇，保證測試和掃描期間的穩定性。

5 結論

杭州安恒信息技術有限公司的核心團隊擁有多年互聯網應用安全防衛、網絡安全審計、數據庫安全審計的深厚技術背景，擁有全球領先的具有完全知識產權的安全技術；為明鑒WEB應用弱點掃描器（MatriXay2.0）的成功推出奠定了有力的基礎。MatriXay2.0是一款深度針對WEB應用的遠程安全評估系統，由資深安全專家經歷數年的時間研發而成，它能夠輕松應對各種復雜的WEB應用，全面深入發現WEB應用中存在的安全弱點，全自動/智能化檢測網頁中存在的木馬。

MatriXay旨在降低WEB應用的風險，降低國家利益、社會利益、企業利益乃至個人利益受損風險，廣泛適用于“政府、電信、金融、證券、公安、教育、稅務、電力、電子商務”等等所有涉及WEB應用的各個領域。

MatriXay現有的客戶涵蓋公安、運營商、政府、地稅、金融等各個行業，許多世界500強企業（如：Oracle、HP等）都使用MatriXay提升企業WEB應用的整體安全性。