|
产品信息:明鉴Web应用弱点扫描器
| 产品名称: | 明鉴Web应用弱点扫描器 |
产品详情:
最佳WEB应用安全评估工具
产品概述
明鉴®WEB应用弱点扫描器(简称:MatriXay 5.0)是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成,该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月 发布,并在08奥运会WEB安全保障中发挥了重要的作用。2009年3.6版本 成功入选工信部安全中心Web应用安全检查工具。与市场上同类产品的不同之处在于:不仅具有精确的“取证式”扫描功能,还提供了强大的安全审计、渗透测试功能,误报率和漏报率等各项关键指标均达到国际领先水平,因此,被评价为“最佳的WEB安全评估工具”。
MatriXay 5.0(2011版) 旨在降低WEB应用的风险,使国家利益、社会利益、企业利益乃至个人利益的受损风险降低,广泛适用于“等级保护测评机构、公安、运营商、金融、电力能源、政府、教育”等各领域内的互联网应用、门户网站及内部核心业务系统(如网银、网上营业厅、OSS系统、ERP系统、OA系统等)。
作为公安部等级保护测评中心专用应用安全测评工具,工信部安全中心Web应用安全检查工具,MatriXay 5.0 (2011版) 全面支持OWASP TOP 10检测,可以帮助用户充分了解WEB应用存在的安全隐患,建立安全可靠的WEB应用服务,改善并提升应用系统抗各类WEB应用攻击的能力(如:注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等),协助用户满足等级保护、PCI、内控审计等规范要求。
主要功能
o 深度扫描:以web漏洞风险为导向, 通过对web应用(包括WEB2.0、JAVAScript、FLASH等)进行深度遍历,以安全风险管理为基础,支持各类web应用程序的扫描。
o WEB漏洞检测:提供有丰富的策略包,针对各种WEB应用系统以及各种典型的应用漏洞进行检测(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据等)。
o 网页木马检测:对各种挂马方式的网页木马进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。
o 配置审计:通过当前弱点获取数据库的相关敏感信息,对后台数据库进行配置审计,如弱口令、弱配置等。
o 渗透测试:通过当前弱点,模拟黑客使用的漏洞发现技术和攻击手段,对目标WEB应用的安全性做出深入分析,并实施无害攻击,取得系统安全威胁的直接证据。
产品特点
o 全面、深度、准确评估WEB应用弱点,有助于提高主动防御能力
支持的WEB应用类型
支持各类认证方式
支持的数据库类型
Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、 Ingres等
支持的弱点类型(包含OWASP TOP 10:A1-注入攻击、A2-跨站脚本(XSS)、A3-失效的认证和会话管理:、A4-不安全的直接对象引用、A5-跨站请求伪造、A6-安全配置错误、A7-限制URL访问失败、A8-尚未认证的重定向和转发、A9-不安全的密码储藏、A10-传输层保护不足)
o 灵活可定义的扫描工作模式
支持普通扫描模式、命令扫描模式
支持边爬行边检测、先爬行后检测、只爬行网站链接、只检测现有URL等多种扫描方式
扫描方式:简单模式(单个域名)、批量模式(多个域名)
扫描范围:当前URL、当前子域名、当前域名、任何URL
支持无人值守模式下的全自动扫描
工作方式:主动扫描、被动扫描(Proxy)
扫描深度:支持无限扫描深度
扫描过程可以随时中断/恢复,扫描结果实时存储
支持多任务、多线程、多引擎并行扫描
支持扫描例外设置
o 深度智能扫描引擎
全面支持SSL
自动过滤重复页面
自动检测所有参数
支持网页大小写敏感/不敏感
支持所需网页检测类型设置
o 独有的“取证”模式确保评估结果准确可信
o 直观丰富的统计报表
o 完善的结果趋势分析
o 完备丰富的风险评估报告,支持各类格式输出,并可自定义内容
o 安装运行无需第三方软件支持
常见WEB应用攻击影响分析
MatriXay 5.0(2011版)现有的客户涵盖等级保护测评机构、公安、运营商、金融、电力能源、政府、教育等各个领域,众多世界500强企业(如:中国移动、国家电网、中国电信、南方电网、中国联通、Oracle、HP等)都使用MatriXay 提升企业内部和外部应用的整体安全性。
行业应用案例
运营商----某省移动 客户面临的安全问题
o 网络技术日趋成熟,黑客们的注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击;
o 所有的业务系统(如:营业系统、CBOSS系统、BBOSS系统等等)均采用B/S的架构,致使企业所面临的风险在不断增加;
o WEB应用系统是否存在程序漏洞,往往是被入侵后才能察觉,如何在攻击发动之前主动发现Web应用程序漏洞?
安恒解决方案
主动防御---- 从技术和管理两个层面为某省移动应用安全保驾护航;
o 利用安恒WEB应用弱点扫描器建设WEB应用安全扫描平台;
o 将WEB应用弱点扫描、风险评估纳入日常工作流程;
o 定期检查WEB应用本身的安全性及网页上对外链接的可靠性;
o 定期培训:黑客攻击技术、安全防范技术、编码规范等多方面的技能培训.
安恒信息以“专业的安全服务团队、自主知识产权的安全产品、长期的安全经验积累、实时响应的专家服务模式”赢得了国内/外众多客户的青睐,客户涵盖“金融、运营商、政府、公安、能源、教育、税务、工商、社保、等级保护测评机构、电子商务及企业”等各个领域,部分国内客户名单如下:
等保评估/安全服务机构
§ 公安部等级保护测评中心
§ 公安部一所测评中心
§ 上海信息安全工程技术研究中心
§ 上海市信息安全研究中心
§ 江苏省信息安全测评中心
§ 山东省电子产品监督检验所
§ 浙江省电子产品检验所
§ 江西省电子信息产品监督检验院
§ 吉林电子信息产品监督检验研究院
§ 广西壮族自治区电子产品监督检验所
§ 厦门市信息技术服务中心
§ 福建省网络与信息安全测评中心
公安
§ 公安部十一局
§ 公安部第一研究所
§ 公安部第三研究所
§ 浙江省公安厅
§ 北京市公安局
§ 天津市公安局
§ 山东省公安厅
§ 江西省公安厅
§ 宁夏回族自治区公安厅
§ 广州市公安局
§ 三亚市公安局
§ 山西运城公安局
§ 山西太原市公安局
§ 潍坊市公安局
§ 温州市公安局
§ 义乌市公安局
§ 温州乐清市公安局
§ 金华市公安局
§ 湖州市公安局
§ 衢州市公安局
运营商
§ 中国电信北京研究院
§ 中国电信广东研究院
§ 上海移动
§ 江苏移动
§ 浙江移动
§ 浙江联通
§ 宁波联通
电力能源
§ 中国电力科学研究院
§ 国网电力科学研究院
§ 上海电力股份有限公司
§ 浙江省电力公司
§ 贵州电网公司
政府
§ 工信部安全中心
§ 中国科学院计算机网络信息中心
§ 国家广播电视总局
§ 中国国际电子商务中心、
§ 全国组织机构代码管理中心
§ 航空工业信息中心
教育
§ 浙江大学
§ 浙江警官职业学院
§ 浙江工商职业技术学院
其他
§ 上海东方网
§ 盛大网络
§ …
索取详细资料,请联系我们 >>
产品概述
明鉴®WEB应用弱点扫描器(简称:MatriXay 5.0)是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成,该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月 发布,并在08奥运会WEB安全保障中发挥了重要的作用。2009年3.6版本 成功入选工信部安全中心Web应用安全检查工具。与市场上同类产品的不同之处在于:不仅具有精确的“取证式”扫描功能,还提供了强大的安全审计、渗透测试功能,误报率和漏报率等各项关键指标均达到国际领先水平,因此,被评价为“最佳的WEB安全评估工具”。
MatriXay 5.0(2011版) 旨在降低WEB应用的风险,使国家利益、社会利益、企业利益乃至个人利益的受损风险降低,广泛适用于“等级保护测评机构、公安、运营商、金融、电力能源、政府、教育”等各领域内的互联网应用、门户网站及内部核心业务系统(如网银、网上营业厅、OSS系统、ERP系统、OA系统等)。
作为公安部等级保护测评中心专用应用安全测评工具,工信部安全中心Web应用安全检查工具,MatriXay 5.0 (2011版) 全面支持OWASP TOP 10检测,可以帮助用户充分了解WEB应用存在的安全隐患,建立安全可靠的WEB应用服务,改善并提升应用系统抗各类WEB应用攻击的能力(如:注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等),协助用户满足等级保护、PCI、内控审计等规范要求。
主要功能
o 深度扫描:以web漏洞风险为导向, 通过对web应用(包括WEB2.0、JAVAScript、FLASH等)进行深度遍历,以安全风险管理为基础,支持各类web应用程序的扫描。
o WEB漏洞检测:提供有丰富的策略包,针对各种WEB应用系统以及各种典型的应用漏洞进行检测(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据等)。
o 网页木马检测:对各种挂马方式的网页木马进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。
o 配置审计:通过当前弱点获取数据库的相关敏感信息,对后台数据库进行配置审计,如弱口令、弱配置等。
o 渗透测试:通过当前弱点,模拟黑客使用的漏洞发现技术和攻击手段,对目标WEB应用的安全性做出深入分析,并实施无害攻击,取得系统安全威胁的直接证据。
产品特点
o 全面、深度、准确评估WEB应用弱点,有助于提高主动防御能力
支持的WEB应用类型
支持各类认证方式
支持的数据库类型
Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、 Ingres等
支持的弱点类型(包含OWASP TOP 10:A1-注入攻击、A2-跨站脚本(XSS)、A3-失效的认证和会话管理:、A4-不安全的直接对象引用、A5-跨站请求伪造、A6-安全配置错误、A7-限制URL访问失败、A8-尚未认证的重定向和转发、A9-不安全的密码储藏、A10-传输层保护不足)
o 灵活可定义的扫描工作模式
支持普通扫描模式、命令扫描模式
支持边爬行边检测、先爬行后检测、只爬行网站链接、只检测现有URL等多种扫描方式
扫描方式:简单模式(单个域名)、批量模式(多个域名)
扫描范围:当前URL、当前子域名、当前域名、任何URL
支持无人值守模式下的全自动扫描
工作方式:主动扫描、被动扫描(Proxy)
扫描深度:支持无限扫描深度
扫描过程可以随时中断/恢复,扫描结果实时存储
支持多任务、多线程、多引擎并行扫描
支持扫描例外设置
o 深度智能扫描引擎
全面支持SSL
自动过滤重复页面
自动检测所有参数
支持网页大小写敏感/不敏感
支持所需网页检测类型设置
o 独有的“取证”模式确保评估结果准确可信
o 直观丰富的统计报表
o 完善的结果趋势分析
o 完备丰富的风险评估报告,支持各类格式输出,并可自定义内容
o 安装运行无需第三方软件支持
常见WEB应用攻击影响分析
|
漏洞类型 |
攻击影响 |
| SQL注入漏洞 | 数据库信息窃取、篡改、删除 |
| Cookie注入 | 数据库信息窃取、篡改、删除,控制服务器 |
| 跨站脚本漏洞 | 用户证书、网站信息、用户信息被盗 |
| 缓冲区溢出 | 攻陷和控制服务器 |
| 表单绕过漏洞 | 攻击者访问禁止访问的目录 |
| 文件上传漏洞 | 主页篡改、数据损坏和传播木马 |
| 文件包含 | 服务器信息窃取、攻陷和控制服务器 |
| 网页木马 | 直接控制网站主机或者借此攻击访问者客户端 |
行业应用案例
运营商----某省移动 客户面临的安全问题
o 网络技术日趋成熟,黑客们的注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击;
o 所有的业务系统(如:营业系统、CBOSS系统、BBOSS系统等等)均采用B/S的架构,致使企业所面临的风险在不断增加;
o WEB应用系统是否存在程序漏洞,往往是被入侵后才能察觉,如何在攻击发动之前主动发现Web应用程序漏洞?
安恒解决方案
主动防御---- 从技术和管理两个层面为某省移动应用安全保驾护航;
o 利用安恒WEB应用弱点扫描器建设WEB应用安全扫描平台;
o 将WEB应用弱点扫描、风险评估纳入日常工作流程;
o 定期检查WEB应用本身的安全性及网页上对外链接的可靠性;
o 定期培训:黑客攻击技术、安全防范技术、编码规范等多方面的技能培训.
安恒信息以“专业的安全服务团队、自主知识产权的安全产品、长期的安全经验积累、实时响应的专家服务模式”赢得了国内/外众多客户的青睐,客户涵盖“金融、运营商、政府、公安、能源、教育、税务、工商、社保、等级保护测评机构、电子商务及企业”等各个领域,部分国内客户名单如下:
等保评估/安全服务机构
§ 公安部等级保护测评中心
§ 公安部一所测评中心
§ 上海信息安全工程技术研究中心
§ 上海市信息安全研究中心
§ 江苏省信息安全测评中心
§ 山东省电子产品监督检验所
§ 浙江省电子产品检验所
§ 江西省电子信息产品监督检验院
§ 吉林电子信息产品监督检验研究院
§ 广西壮族自治区电子产品监督检验所
§ 厦门市信息技术服务中心
§ 福建省网络与信息安全测评中心
公安
§ 公安部十一局
§ 公安部第一研究所
§ 公安部第三研究所
§ 浙江省公安厅
§ 北京市公安局
§ 天津市公安局
§ 山东省公安厅
§ 江西省公安厅
§ 宁夏回族自治区公安厅
§ 广州市公安局
§ 三亚市公安局
§ 山西运城公安局
§ 山西太原市公安局
§ 潍坊市公安局
§ 温州市公安局
§ 义乌市公安局
§ 温州乐清市公安局
§ 金华市公安局
§ 湖州市公安局
§ 衢州市公安局
运营商
§ 中国电信北京研究院
§ 中国电信广东研究院
§ 上海移动
§ 江苏移动
§ 浙江移动
§ 浙江联通
§ 宁波联通
电力能源
§ 中国电力科学研究院
§ 国网电力科学研究院
§ 上海电力股份有限公司
§ 浙江省电力公司
§ 贵州电网公司
政府
§ 工信部安全中心
§ 中国科学院计算机网络信息中心
§ 国家广播电视总局
§ 中国国际电子商务中心、
§ 全国组织机构代码管理中心
§ 航空工业信息中心
教育
§ 浙江大学
§ 浙江警官职业学院
§ 浙江工商职业技术学院
其他
§ 上海东方网
§ 盛大网络
§ …
索取详细资料,请联系我们 >>