明鑒^?WEB應(yīng)用弱點(diǎn)掃描器（簡稱：MatriXay 6.0）是安恒安全專家團(tuán)隊(duì)在深入分析研究B/S架構(gòu)應(yīng)用系統(tǒng)中典型安全漏洞以及流行攻擊技術(shù)基礎(chǔ)上研制而成，該產(chǎn)品1.0版本于2006年8月世界安全大會(huì)BlackHat和Def-Con上首次發(fā)布,2.0版本于2007年12月發(fā)布,并在08奧運(yùn)會(huì)WEB安全保障中發(fā)揮了重要的作用。2009年3.6版本成功入選工信部安全中心WEB應(yīng)用安全檢查工具。2010年5.0版本為上海世博會(huì)、廣州亞運(yùn)會(huì)2011年深圳大運(yùn)會(huì)提供應(yīng)用安全評(píng)估及服務(wù)，在中國移動(dòng)集團(tuán)采購測試中獲得第一名。2013年最新發(fā)布的6.0版本在公安部領(lǐng)導(dǎo)下的全國政府網(wǎng)站大檢查中更是發(fā)揮重要作用。與市場上同類產(chǎn)品的不同之處在于：不僅具有精確的“取證式”掃描功能，還提供了強(qiáng)大的安全審計(jì)、滲透測試功能，誤報(bào)率和漏報(bào)率等各項(xiàng)關(guān)鍵指標(biāo)均達(dá)到國際領(lǐng)先水平，因此，被評(píng)價(jià)為“最佳的WEB安全評(píng)估工具”。

MatriXay 6.0旨在降低WEB應(yīng)用的風(fēng)險(xiǎn)，使國家利益、社會(huì)利益、企業(yè)利益乃至個(gè)人利益的受損風(fēng)險(xiǎn)降低，廣泛適用于“等級(jí)保護(hù)測評(píng)機(jī)構(gòu)、公安、運(yùn)營商、金融、電力能源、政府、教育”等各領(lǐng)域內(nèi)的互聯(lián)網(wǎng)應(yīng)用、門戶網(wǎng)站及內(nèi)部核心業(yè)務(wù)系統(tǒng)（如網(wǎng)銀、網(wǎng)上營業(yè)廳、OSS系統(tǒng)、ERP系統(tǒng)、OA系統(tǒng)等）。

作為公安部等級(jí)保護(hù)測評(píng)中心專用應(yīng)用安全測評(píng)工具，工信部安全中心WEB應(yīng)用安全檢查工具，MatriXay 6.0全面支持OWASP TOP 10檢測，可以幫助用戶充分了解WEB應(yīng)用存在的安全隱患，建立安全可靠的WEB應(yīng)用服務(wù)，改善并提升應(yīng)用系統(tǒng)抗各類WEB應(yīng)用攻擊的能力（如：注入攻擊、跨站腳本、文件包含、釣魚攻擊、信息泄漏、惡意編碼、表單繞過等），協(xié)助用戶滿足等級(jí)保護(hù)、PCI、內(nèi)控審計(jì)等規(guī)范要求。

• 深度掃描：以WEB漏洞風(fēng)險(xiǎn)為導(dǎo)向，通過對(duì)WEB應(yīng)用（包括WEB2.0、JAVAScript、FLASH等）進(jìn)行深度遍歷，以安全風(fēng)險(xiǎn)管理為基礎(chǔ)，支持各類WEB應(yīng)用程序的掃描。

• WEB漏洞檢測：提供有豐富的策略包，針對(duì)各種WEB應(yīng)用系統(tǒng)以及各種典型的應(yīng)用漏洞進(jìn)行檢測（如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、代碼注入、表單繞過、弱口令、敏感文件和目錄、管理后臺(tái)、敏感數(shù)據(jù)、第三方軟件等）。

• 網(wǎng)頁木馬檢測：對(duì)各種掛馬方式的網(wǎng)頁木馬進(jìn)行全自動(dòng)、高性能、智能化分析，并對(duì)網(wǎng)頁木馬傳播的病毒類型做出準(zhǔn)確剖析和網(wǎng)頁木馬宿主做出精確定位。

• 配置審計(jì)：通過當(dāng)前弱點(diǎn)獲取數(shù)據(jù)庫的相關(guān)敏感信息，對(duì)后臺(tái)數(shù)據(jù)庫進(jìn)行配置審計(jì)，如弱口令、弱配置等。

• 滲透測試：通過當(dāng)前弱點(diǎn)，模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，對(duì)目標(biāo)WEB應(yīng)用的安全性做出深入分析，并實(shí)施無害攻擊，取得系統(tǒng)安全威脅的直接證據(jù)。

圖1 產(chǎn)品界面 

• 全面、深度、準(zhǔn)確評(píng)估WEB應(yīng)用弱點(diǎn)，有助于提高主動(dòng)防御能力

支持的WEB應(yīng)用類型

• 全面支持WEB 2.0，支持各類JavaScript腳本解析

• 全面支持FLASH解析

• 支持WAP類及WMLScript腳本類應(yīng)用系統(tǒng)

• 支持基于HTTPS應(yīng)用系統(tǒng)的檢測

• 首家支持國內(nèi)、國外知名WEB應(yīng)用程序漏洞掃描

• 支持所有類型的動(dòng)態(tài)頁面

• 支持HTTP 1.0和1.1標(biāo)準(zhǔn)的Web應(yīng)用系統(tǒng)

• 國內(nèi)首創(chuàng)灰盒模式，彌補(bǔ)傳統(tǒng)的黑盒模式無法有效檢測存儲(chǔ)式跨站、頁面無變化的SQL注入(update,insert等)，使得結(jié)果更全面

支持各類認(rèn)證方式

• 支持基于支持包括Basic、Digest、NTLM在內(nèi)的認(rèn)證方式

• 支持HTTP和SOCKS代理，并支持各種代理的認(rèn)證方式

• 支持基于證書認(rèn)證的系統(tǒng)掃描（如：網(wǎng)銀）

支持的數(shù)據(jù)庫類型

Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、 Ingres等

支持的弱點(diǎn)類型（包含OWASP TOP 10：A1-注入攻擊、A2-失效的身份認(rèn)證和會(huì)話管理、A3-跨站腳本（XSS）、A4-不安全的直接對(duì)象引用、A5-安全配置錯(cuò)誤、A6-敏感數(shù)據(jù)泄露、A7-功能級(jí)訪問控制缺失、A8-跨站請(qǐng)求偽造（CSRF）、A9-使用含有已知漏洞的組件、A10-未驗(yàn)證的重定向和轉(zhuǎn)發(fā))

• 靈活可定義的掃描工作模式

支持普通掃描模式、命令掃描模式

支持邊爬行邊檢測、先爬行后檢測、只爬行網(wǎng)站鏈接、只檢測現(xiàn)有URL等多種掃描方式

掃描方式：簡單模式（單個(gè)域名）、批量模式（多個(gè)域名）

掃描范圍：當(dāng)前URL、當(dāng)前子域名、當(dāng)前域名、任何URL

支持無人值守模式下的全自動(dòng)掃描

工作方式：主動(dòng)掃描、被動(dòng)掃描(Proxy)

掃描深度：支持無限掃描深度

掃描過程可以隨時(shí)中斷/恢復(fù)，掃描結(jié)果實(shí)時(shí)存儲(chǔ)

支持多任務(wù)、多線程、多引擎并行掃描

支持掃描例外設(shè)置

支持掃描項(xiàng)目文件加密管理

支持配置文件導(dǎo)入和導(dǎo)出

• 深度智能掃描引擎

全面支持SSL

自動(dòng)過濾重復(fù)頁面

自動(dòng)檢測所有參數(shù)

支持網(wǎng)頁大小寫敏感/不敏感

支持所需網(wǎng)頁檢測類型設(shè)置

支持驗(yàn)證碼錄制功能

• 獨(dú)有的“取證”模式確保評(píng)估結(jié)果準(zhǔn)確可信

• 直觀豐富的統(tǒng)計(jì)報(bào)表

• 完善的結(jié)果趨勢分析

• 完備豐富的風(fēng)險(xiǎn)評(píng)估報(bào)告，支持各類格式輸出，并可自定義內(nèi)容

• 全新的報(bào)表中心，能提供行業(yè)，合規(guī)，統(tǒng)計(jì)，審計(jì)和趨勢報(bào)告

• 豐富的內(nèi)置安全輔助工具和第三方工具和第三方插件設(shè)計(jì)

• 智能檢索，方便快速查找系統(tǒng)功能，漏洞知識(shí)庫和用戶手冊(cè)

• 安裝運(yùn)行無需第三方軟件支持

常見WEB應(yīng)用攻擊影響分析




漏洞類型	攻擊影響
SQL注入漏洞	數(shù)據(jù)庫信息竊取、篡改、刪除
Cookie注入	數(shù)據(jù)庫信息竊取、篡改、刪除，控制服務(wù)器
跨站腳本漏洞	用戶證書、網(wǎng)站信息、用戶信息被盜
緩沖區(qū)溢出	攻陷和控制服務(wù)器
表單繞過漏洞	攻擊者訪問禁止訪問的目錄
文件上傳漏洞	主頁篡改、數(shù)據(jù)損壞和傳播木馬
文件包含	服務(wù)器信息竊取、攻陷和控制服務(wù)器
網(wǎng)頁木馬	直接控制網(wǎng)站主機(jī)或者借此攻擊訪問者客戶端























































MatriXay 6.0現(xiàn)有的客戶涵蓋等級(jí)保護(hù)測評(píng)機(jī)構(gòu)、公安、運(yùn)營商、金融、電力能源、政府、教育等各個(gè)領(lǐng)域，眾多世界500強(qiáng)企業(yè)（如：中國移動(dòng)、國家電網(wǎng)、中國電信、南方電網(wǎng)、中國聯(lián)通、Oracle、HP等）都使用MatriXay 提升企業(yè)內(nèi)部和外部應(yīng)用的整體安全性。



圖2 任務(wù)設(shè)置 



圖3 掃描結(jié)果圖

 

行業(yè)應(yīng)用案例

運(yùn)營商----某省移動(dòng)

客戶面臨的安全問題

• 網(wǎng)絡(luò)技術(shù)日趨成熟，黑客們的注意力從以往對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對(duì) Web 應(yīng)用的攻擊;

• 所有的業(yè)務(wù)系統(tǒng)（如：營業(yè)系統(tǒng)、CBOSS系統(tǒng)、BBOSS系統(tǒng)等等）均采用B/S的架構(gòu)，致使企業(yè)所面臨的風(fēng)險(xiǎn)在不斷增加;

• WEB應(yīng)用系統(tǒng)是否存在程序漏洞，往往是被入侵后才能察覺，如何在攻擊發(fā)動(dòng)之前主動(dòng)發(fā)現(xiàn)Web應(yīng)用程序漏洞?

 

安恒解決方案

主動(dòng)防御---- 從技術(shù)和管理兩個(gè)層面為某省移動(dòng)應(yīng)用安全保駕護(hù)航

• 利用安恒WEB應(yīng)用弱點(diǎn)掃描器建設(shè)WEB應(yīng)用安全掃描平臺(tái);

• 將WEB應(yīng)用弱點(diǎn)掃描、風(fēng)險(xiǎn)評(píng)估納入日常工作流程;

• 定期檢查WEB應(yīng)用本身的安全性及網(wǎng)頁上對(duì)外鏈接的可靠性;

• 定期培訓(xùn)：黑客攻擊技術(shù)、安全防范技術(shù)、編碼規(guī)范等多方面的技能培訓(xùn).

































圖4 產(chǎn)品部署圖