【51CTO.com 綜合消息】隨著全球信息化的迅猛發展，互聯網早已成為人們日常生活中不可或缺的“產品”。雖然獲取信息、休閑娛樂仍然是網民上網的主要動機，但是為購物、炒股、商務活動等原因上網的網民越來越多。電子政務、B2B、B2C等電子商務活動也在不斷發展。在網絡為人們的工作和生活不斷帶來諸多益處的同時，也不斷給網絡用戶帶來新的煩惱。與世界其他國家和地區一樣，中國的網絡用戶不斷遭到網絡黑客和病毒的入侵。計算機網絡安全日益引起政府、企業、組織機構以及個人的關注。

去年筆者所在的公司網絡支付系統被黑客入侵而損失上百萬的安全事件正與Web應用程序密切相關，同時，也喚醒了領導對WEB應用程序安全的重視，覺得有必要在采取防范措施之前先對自己的系統進行一次嚴格的滲透測試已成必然。

據有關數據統計顯示，如今多數支持外部訪問的應用程序都是基于Web的，而其中的多數又都包含著可被利用的漏洞。在此之前，筆者就有對上級領導請示過相關問題，而領導認為單位的網站有了網絡硬件防火墻的保護就不需要其它保護措施了，已經是非常安全了。以致于釀成此次事件的發生。因為公司網絡支付系統的攻擊事情是依賴于Web應用程序中的缺陷，這些缺陷通常都包含著易于被利用的漏洞。而網絡防火墻必須對80端口開放，才能使網站正常運行，此時對于黑客攻擊，網絡硬件防火墻就毫無安全可言。

在經歷此次事件之后，筆者強烈建議，在將Web應用程序推向實際使用之前，最好先借助Web應用程序滲透工具測試一下。目前，這類工具多數都可以執行Web應用程序的自動掃描，它們可以實施一些威脅模式測試，從而揭示一些常見的漏洞，例如許多程序可以揭示Sql注入式攻擊漏洞、跨站腳本攻擊等。有時，這些工具還可以提供一些參數供用戶修正所發現的漏洞。而如今的安全測試市場并沒有絕對的標準，所以有必要探討一下我們單位所采購的評估工具。

明鑒TMWEB應用弱點掃描器它是由安恒安全專家團隊在深入分析研究WEB-數據庫構架應用系統中典型安全漏洞以及流行的攻擊技術基礎上，研制開發的一款WEB應用安全評估工具，它采用攻擊技術的原理和滲透性測試的方法，對WEB應用進行深度漏洞探測，可幫助應用開發者和管理者了解應用系統存在的脆弱性，為改善并提高應用系統安全性提供依據，幫助用戶建立安全可靠的WEB應用服務。該產品1.0版本于2006年8月世界安全大會BlackHat和Def-Con上首次發布,2.0版本于2007年12月 發布,并在08奧運WEB安全保障中發揮了重要的作用。與市場上同類產品的不同之處在于：不僅具有非凡的掃描功能，還提供了強大的滲透測試、網頁木馬檢測功能。因此，被評價為“最佳的WEB安全評估工具”。

MatriXay 3.0(2009版) 旨在降低WEB應用的風險，使國家利益、社會利益、企業利益乃至個人利益的受損風險降低，廣泛適用于“政府、金融、運營商、公安、能源、稅務、工商、社保、交通、等級保護測評機構、教育、電子商務及企業”等各領域的網站和內部B/S系統（如OSS系統、ERP系統、OA系統等）。

作為公安部、浙江省信息安全等級保護專用應用安全測評工具，MatriXay 3.0可以幫助用戶充分了解WEB應用存在的安全隱患，建立安全可靠的WEB應用服務，改善并提升應用系統抗各類WEB應用攻擊的能力（如：注入攻擊、跨站腳本、釣魚攻擊、信息泄漏、惡意編碼、表單繞過、緩沖區溢出等）。經過對比多家領先安全廠商的產品之后,最終決定選擇杭州安恒信息技術有限公司所開發的MatriXay 3.0(2009版)。

明鑒WEB應用弱點掃描器（MatriXay）主要功能包含：全局配置，系統管理，項目管理，項目掃描、弱點檢測，滲透測試、配置審計和報表管理。

產品的功能結構圖如下：

掃描模式：可以靈活選擇掃描器以下工作模式：

工作方式：自動掃描、被動掃描(Proxy)  

掃描方式：簡單模式（單個域名）、批量模式（多個域名）

掃描范圍：當前URL、當前子域名、整個域、任何URL

掃描深度：根據需要設置掃描層次

掃描線程：根據實際的網絡連接情況和測試目標的承受能力進行設置

掃描例外：同時支持路徑例外、文件例外兩種設置

深度掃描及滲透測試流程舉例  

滲透測試操作界面示意如下圖：  

產品特點

全面、深度、準確評估WEB應用弱點，有效提高主動防御能力

系統通過網站遍歷，對目標網站進行完整掃描，可全面、深度、準確檢測WEB應用安全弱點，如XSS跨站腳本,SQL注入，網站木馬等主要安全威脅，為WEB應用提供全方位主動保護。

全面支持SSL的掃描工具

能夠自動獲取所有必須的要素，對基于SSL傳輸的內容進行分析，可對網銀等基于HTTPS協議的WEB應用進行安全評估。

業界唯一集成“網頁木馬自動檢測”的掃描軟件

針對各類網頁被篡改后植入惡意代碼(木馬)的自動檢測分析，支持各類掛馬方式檢測如：Iframe、CSS、JS、SWF、ActiveX等等。

木馬分析: 全自動、高性能、智能化, 對所有網頁鏈接進行木馬分析。

木馬溯源：利用亞龍（安恒）獨特的溯源技術，追查出網頁木馬傳播的病毒、木馬程序所在位置并且做出準確剖析。

獨有的“取證”模式確保評估結果準確可信

對于使用者來說，簡潔全中文界面并不復雜，非安全專業人士也易于上手，并且完備豐富的風險評估報告可生成管理員報表和程序員報表，將掃描結果通過完整的評估報告方式呈現給用戶，提供相關弱點分析和分級并提出相應加固建議方案，報告格式多樣化：EXCEL文件/PDF文件/HTML文件/CSV文件/文本文件/圖像文件，更加易于閱讀和分發。  

明鑒WEB應用弱點掃描器與市場上可見的任何一款同類產品的不同之處在于：它不僅具有非凡的掃描功能，還提供了強大的滲透測試功能。掃描策略精確針對各個數據庫系統特點，通過發現的弱點并進行滲透測試取得弱點存在的直接證據，從而確保最終報告風險漏洞存在的不可抵賴性。
   通過使用明鑒WEB應用弱點掃描器，在將Web應用程序重新掃描評估之后將掃描報告生成出由應用程序的開發人員解決漏洞問題，再次上線，至此一年多了WEB應用系統從未出再有過安全事件的發生。    

最后要提醒的是要真正認識到，安全并不是權宜之計，不是忙完了這陣子就算完。因為Web應用程序是動態變化的，企業需要經常地、不斷地測試和檢查，以保障不會出現新的漏洞。現在筆者每隔一個星期就掃描一次（MatriXay 3.0具有定時掃描功能，大大減輕了我的工作時間和效率）遇問題，及時反饋處理。