【51CTO.com 獨(dú)家特稿】關(guān)注信息安全的人都很清楚黑客入侵網(wǎng)絡(luò)的過(guò)程，通常是先利用掃描工具搜集目標(biāo)主機(jī)或網(wǎng)絡(luò)的詳細(xì)信息，進(jìn)而發(fā)現(xiàn)目標(biāo)系統(tǒng)的漏洞或脆弱點(diǎn)，然后根據(jù)脆弱點(diǎn)的位置、詳細(xì)說(shuō)明展開(kāi)攻擊。

所謂知己知彼百戰(zhàn)不殆，如果企業(yè)先對(duì)自己的網(wǎng)絡(luò)和網(wǎng)站進(jìn)行弱點(diǎn)掃描，那么很有可能將黑客拒之門(mén)外。作為企業(yè)的安全管理人員有必要利用一些掃描工具，通過(guò)掃描得到的結(jié)果信息及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞并采取相應(yīng)的補(bǔ)救措施，從而免受入侵者攻擊。因此，檢測(cè)和消除系統(tǒng)中存在的弱點(diǎn)就成為企業(yè)安全管理人員所要關(guān)注的重要課題。

說(shuō)到掃描器，業(yè)內(nèi)人士都很清楚，開(kāi)源免費(fèi)的掃描器有很多，以國(guó)外工具居多。但本文將要給大家介紹的是國(guó)內(nèi)知名安全廠商安恒公司開(kāi)發(fā)的，針對(duì)Web應(yīng)用攻擊的掃描產(chǎn)品——明鑒Web應(yīng)用弱點(diǎn)掃描器。

之所以要拿明鑒（MatriXay）這款產(chǎn)品說(shuō)事，是因?yàn)槊麒b在全球獲得專利號(hào)為US60/835471的Web應(yīng)用安全深度掃描專利。同時(shí)，明鑒也是公安部和浙江省信息安全等級(jí)保護(hù)專用應(yīng)用安全測(cè)評(píng)工具。從這兩點(diǎn)上說(shuō)明，明鑒具有一定的代表性，一方面代表了世界上獲得專利的領(lǐng)先技術(shù)，另一方面又獲得了國(guó)家相關(guān)部門(mén)的認(rèn)可。可以說(shuō)，明鑒足以印證Web應(yīng)用掃描市場(chǎng)的一些軌跡。

據(jù)記者了解，明鑒（MatriXay）是于2006年8月的世界安全大會(huì)BlackHat（黑帽大會(huì)）和Def-Con上首次發(fā)布，被評(píng)價(jià)為“最佳的WEB安全評(píng)估工具。事實(shí)上，明鑒（MatriXay）是由安恒安全專家團(tuán)隊(duì)在深入分析研究WEB-數(shù)據(jù)庫(kù)構(gòu)架應(yīng)用系統(tǒng)中典型安全漏洞以及流行的攻擊技術(shù)基礎(chǔ)上，研制開(kāi)發(fā)的一款WEB應(yīng)用安全評(píng)估工具。2010年11月25日，安恒公司向業(yè)界公布了明鑒的最新版本，5.0版。在了解最新版本有哪些特性之前，有必要先了解一下弱點(diǎn)掃描的相關(guān)知識(shí)。

從掃描過(guò)程來(lái)看，網(wǎng)絡(luò)安全掃描工具大體可分為網(wǎng)絡(luò)掃描（PING），端口掃描，弱點(diǎn)掃描幾種類型。其中，弱點(diǎn)掃描器是用來(lái)自動(dòng)檢查一個(gè)本地或者遠(yuǎn)程主機(jī)的安全漏洞的程序。與其他端口掃描器一樣，他們查詢端口并記錄返回結(jié)果。網(wǎng)絡(luò)弱點(diǎn)掃描系統(tǒng)根據(jù)所定義的漏洞列表對(duì)目標(biāo)系統(tǒng)的弱點(diǎn)信息進(jìn)行收集，比較和分析，一但發(fā)現(xiàn)目標(biāo)主機(jī)漏洞便提交報(bào)告給用戶，并說(shuō)明如何利用該漏洞以及如何對(duì)該漏洞進(jìn)行修補(bǔ)，一個(gè)好的弱點(diǎn)掃描器能成功獲得關(guān)于目標(biāo)系統(tǒng)安全脆弱點(diǎn)的詳細(xì)信息和提供修補(bǔ)這些脆弱點(diǎn)應(yīng)采取的措施，這些信息對(duì)企業(yè)安全管理人員維護(hù)網(wǎng)絡(luò)的安全，起到至關(guān)重要的作用。

明鑒（MatriXay）5.0版一些值得關(guān)注的功能：
◆深度掃描：以web漏洞風(fēng)險(xiǎn)為導(dǎo)向, 通過(guò)對(duì)web應(yīng)用（包括WEB2.0、JAVAScript、FLASH等）進(jìn)行深度遍歷，以安全風(fēng)險(xiǎn)管理為基礎(chǔ)，支持各類web應(yīng)用程序的掃描。
◆Web漏洞檢測(cè)：提供有豐富的策略包，針對(duì)各種WEB應(yīng)用系統(tǒng)以及各種典型的應(yīng)用漏洞進(jìn)行檢測(cè)（如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、代碼注入、表單繞過(guò)、弱口令、敏感文件和目錄、管理后臺(tái)、敏感數(shù)據(jù)等）。
◆網(wǎng)頁(yè)木馬檢測(cè)：對(duì)各種掛馬方式的網(wǎng)頁(yè)木馬進(jìn)行全自動(dòng)、高性能、智能化分析，并對(duì)網(wǎng)頁(yè)木馬傳播的病毒類型做出準(zhǔn)確剖析和網(wǎng)頁(yè)木馬宿主做出精確定位。
◆配置審計(jì)：通過(guò)當(dāng)前弱點(diǎn)獲取數(shù)據(jù)庫(kù)的相關(guān)敏感信息，對(duì)后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行配置審計(jì)，如弱口令、弱配置等。
◆滲透測(cè)試：通過(guò)當(dāng)前弱點(diǎn)，模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，對(duì)目標(biāo)WEB應(yīng)用的安全性做出深入分析，并實(shí)施無(wú)害攻擊，取得系統(tǒng)安全威脅的直接證據(jù)。

一款好的Web應(yīng)用弱點(diǎn)掃描器，與支持的Web應(yīng)用類型有很大關(guān)系，支持的類型越多，掃描的精度和準(zhǔn)確度就有保障，我們來(lái)看一看明鑒（MatriXay）5.0版的Web應(yīng)用支持類型：
◆支持WEB 2.0，支持各類JavaScript腳本解析
◆支持FLASH解析
◆WAP類及WMLScript腳本類應(yīng)用系統(tǒng)
◆支持基于HTTPS應(yīng)用系統(tǒng)的檢測(cè)
◆首家支持國(guó)內(nèi)、國(guó)外知名Web應(yīng)用程序漏洞掃描
◆支持所有類型的動(dòng)態(tài)頁(yè)面
◆支持HTTP 1.0和1.1標(biāo)準(zhǔn)的Web應(yīng)用系統(tǒng)

其中，值得關(guān)注的是支持FLASH的解析，目前國(guó)外開(kāi)源的掃描器還都不提供這種支持。此外，明鑒也支持各類認(rèn)證方式，包括Basic、Digest、NTLM在內(nèi)的認(rèn)證方式；支持的數(shù)據(jù)庫(kù)有
Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、Ingres等。

明鑒（MatriXay）5.0版的部署：

從圖中，我們可以看出，明鑒弱點(diǎn)掃描器是部署在應(yīng)用服務(wù)器上的，5.0新版與以往版本最大的不同，就是改變了算法，并提升了掃描性能，據(jù)安恒信息公司北方區(qū)技術(shù)總監(jiān)李麒介紹，新版產(chǎn)品可以運(yùn)行在任何一臺(tái)PC上，哪怕是筆記本對(duì)性能也無(wú)任何影響。

誤報(bào)率和漏報(bào)率：
眾所周知，任何掃描產(chǎn)品都會(huì)存在誤報(bào)和漏報(bào)，這也是應(yīng)用層掃描存在的兩個(gè)難題，并且在這方面也沒(méi)有衡量標(biāo)準(zhǔn)，目前國(guó)際上對(duì)誤報(bào)率可以接受的范圍是15%-20%，明鑒5.0新版產(chǎn)品利用的是樹(shù)形獨(dú)立深度算法，將掃描到的結(jié)果送至沙盒中，把誤報(bào)率降低到3%以下，這可以說(shuō)是國(guó)際上的一種突破，也印證了為什么明鑒在國(guó)際上獲得了Web應(yīng)用安全深度掃描專利。此外，通過(guò)對(duì)知識(shí)庫(kù)的積累，也有效地降低漏報(bào)率。

Web應(yīng)用掃描市場(chǎng)正走向成熟
假設(shè)被攻擊的網(wǎng)站，在危險(xiǎn)發(fā)生之前，能夠利用Web應(yīng)用弱點(diǎn)掃描器進(jìn)行滲透測(cè)試，找到問(wèn)題所在，并及時(shí)修補(bǔ)，則很有可能將黑客拒之門(mén)外。這是企業(yè)安全管理人員所必須關(guān)注的問(wèn)題。

事實(shí)上，市場(chǎng)上也充斥著各種各樣的掃描器，有的是漏洞掃描，有的是端口掃描，但針對(duì)Web應(yīng)用攻擊的掃描器必須具備良好的性能，及時(shí)發(fā)現(xiàn)新型攻擊手段，因?yàn)閃eb應(yīng)用攻擊是所有攻擊中最不穩(wěn)定，也是數(shù)量最龐大，手段最多的攻擊方式。

毫不夸張的說(shuō)，以往掃描器是黑客用來(lái)攻擊的工具之一，現(xiàn)在安全意識(shí)提高的企業(yè)CIO和CTO們逐漸意識(shí)到這個(gè)領(lǐng)域的重要性，這也給整個(gè)信息安全產(chǎn)業(yè)鏈帶來(lái)了良性的發(fā)展機(jī)遇，相信在未來(lái)2-3年內(nèi)，針對(duì)Web應(yīng)用攻擊的弱點(diǎn)掃描器將會(huì)大放異彩。

附：OWASP十大常見(jiàn)Web應(yīng)用攻擊
國(guó)際Web開(kāi)源非盈利性組織OWASP前不久公布了今年的十大Web應(yīng)用威脅排行，OWASP Top 10 for 2010（2010年OWASP十大常見(jiàn)Web應(yīng)用攻擊）：
1、 SQL注入（SQL injection）：
2、 跨站腳本攻擊：
3、 失效的認(rèn)證和會(huì)話管理
4、 不安全的直接對(duì)象引用
5、 跨站偽造請(qǐng)求（CSRF）
6、 安全配置錯(cuò)誤
7、 限制訪問(wèn)URL失效
8、 尚未驗(yàn)證的重定向和轉(zhuǎn)發(fā)
9、 不安全的密碼儲(chǔ)存
10、 傳輸層保護(hù)不足

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】