【51CTO.com 綜合消息】1 當(dāng)前WEB應(yīng)用面臨的主要安全威脅

美國最權(quán)威的RSA大會(huì)研究顯示，Web應(yīng)用安全已超過所有以前網(wǎng)絡(luò)層安全(如DDos)，逐漸成為最嚴(yán)重、最廣泛、危害性最大的安全問題。WEB安全的挑戰(zhàn)主要來自以下幾個(gè)方面：

◆XSS跨站攻擊； 

◆SQL 注入；  

◆網(wǎng)絡(luò)釣魚； 

◆惡意代碼； 

◆偽造ARP報(bào)文； 

◆RootKit隱身技術(shù)等等；

據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的統(tǒng)計(jì)調(diào)查顯示，2008年中國的互聯(lián)網(wǎng)安全狀況不容樂觀，各種網(wǎng)絡(luò)安全事件與去年同期相比都有明顯增加、被植入木馬的主機(jī)數(shù)量大幅攀升。中心通過技術(shù)平臺(tái)共捕獲約90 萬個(gè)惡意代碼，比去年同期增長(zhǎng)62.5%；網(wǎng)頁篡改事件和網(wǎng)絡(luò)仿冒事件同比增長(zhǎng)分別是23.7%和38%；木馬控制端IP地址總數(shù)為280068個(gè)，被控制端IP地總數(shù)1485868個(gè)。

與此同時(shí)，攻擊者從技術(shù)上針對(duì)不同網(wǎng)站所采用了不同的攻擊方式以達(dá)到攻擊目的，在過程中其利益趨勢(shì)非常明顯。對(duì)于政府類或安全管理相關(guān)網(wǎng)站，攻擊者主要采用篡改網(wǎng)頁、放置惡意代碼等攻擊形式，干擾正常業(yè)務(wù)的開展（如利用網(wǎng)絡(luò)釣魚和網(wǎng)址嫁接等對(duì)金融機(jī)構(gòu)、網(wǎng)上交易等站點(diǎn)進(jìn)行網(wǎng)絡(luò)仿冒）、蓄意破壞政府或企業(yè)形象，嚴(yán)重的導(dǎo)致網(wǎng)站被迫停止服務(wù)。對(duì)于個(gè)人用戶，攻擊者更多的是通過用戶身份竊取（如：利用間諜軟件和木馬程序等）手段，偷取用戶游戲賬號(hào)、銀行賬號(hào)、密碼等，竊取用戶的私有財(cái)產(chǎn)。

如此的安全狀況，給WEB應(yīng)用系統(tǒng)的穩(wěn)定運(yùn)行帶來了前所未有的壓力，WEB應(yīng)用系統(tǒng)的安全已經(jīng)成為了目前迫切需要解決的問題。

然而，面對(duì)如此嚴(yán)重的安全威脅，目前市場(chǎng)缺少相應(yīng)的安全解決方案有效應(yīng)對(duì)。

基于此，杭州安恒信息技術(shù)有限公司推出了全球領(lǐng)先的WEB應(yīng)用弱點(diǎn)評(píng)估工具—明鑒TMWEB應(yīng)用弱點(diǎn)掃描器（MatriXay），為您的WEB應(yīng)用提供安全風(fēng)險(xiǎn)評(píng)估和主動(dòng)防御工具。#p#

2 產(chǎn)品概述

明鑒TMWEB應(yīng)用弱點(diǎn)掃描器（MatriXay）是杭州安恒信息技術(shù)有限公司在深入分析研究WEB-數(shù)據(jù)庫構(gòu)架應(yīng)用系統(tǒng)中典型安全漏洞以及流行的攻擊技術(shù)基礎(chǔ)上，研制開發(fā)的一款WEB應(yīng)用安全評(píng)估工具。它采用攻擊技術(shù)的原理和滲透性測(cè)試的方法，對(duì)WEB應(yīng)用進(jìn)行深度漏洞探測(cè)，可幫助應(yīng)用開發(fā)者和管理者了解應(yīng)用系統(tǒng)存在的脆弱性，為改善并提高應(yīng)用系統(tǒng)安全性提供依據(jù)，幫助用戶建立安全可靠的WEB應(yīng)用服務(wù)，對(duì)WEB應(yīng)用攻擊說“不！”

明鑒TMWEB應(yīng)用弱點(diǎn)掃描器（簡(jiǎn)稱：MatriXay 3.6）是安恒安全專家團(tuán)隊(duì)在深入分析研究B/S架構(gòu)應(yīng)用系統(tǒng)中典型安全漏洞以及流行攻擊技術(shù)基礎(chǔ)上研制而成，該產(chǎn)品1.0版本于2006年8月世界安全大會(huì)BlackHat和Def-Con上首次發(fā)布,2.0版本于2007年12月 發(fā)布,并在08奧運(yùn)WEB安全保障中發(fā)揮了重要的作用。與市場(chǎng)上同類產(chǎn)品的不同之處在于：不僅具有非凡的掃描功能，還提供了強(qiáng)大的滲透測(cè)試、網(wǎng)頁木馬檢測(cè)功能。因此，被評(píng)價(jià)為“最佳的WEB安全評(píng)估工具”。

MatriXay 3.6(2009版) 旨在降低WEB應(yīng)用的風(fēng)險(xiǎn)，使國家利益、社會(huì)利益、企業(yè)利益乃至個(gè)人利益的受損風(fēng)險(xiǎn)降低，廣泛適用于“政府、金融、運(yùn)營(yíng)商、公安、能源、稅務(wù)、工商、社保、交通、等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)、教育、電子商務(wù)及企業(yè)”等各領(lǐng)域的網(wǎng)站和內(nèi)部B/S系統(tǒng)（如OSS系統(tǒng)、ERP系統(tǒng)、OA系統(tǒng)等）。

作為公安部等級(jí)保護(hù)測(cè)評(píng)中心專用應(yīng)用安全測(cè)評(píng)工具，工信部安全中心運(yùn)營(yíng)商安全Web和數(shù)據(jù)庫安全檢查工具，MatriXay  3.6 (2009版)可以幫助用戶充分了解WEB應(yīng)用存在的安全隱患，建立安全可靠的WEB應(yīng)用服務(wù)，改善并提升應(yīng)用系統(tǒng)抗各類WEB應(yīng)用攻擊的能力（如：注入攻擊、跨站腳本、釣魚攻擊、信息泄漏、惡意編碼、表單繞過、緩沖區(qū)溢出等）。#p#

3 主要功能

3.1 軟件功能結(jié)構(gòu)

明鑒WEB應(yīng)用弱點(diǎn)掃描器（MatriXay）主要功能包含：全局配置，系統(tǒng)管理，項(xiàng)目管理，項(xiàng)目掃描、弱點(diǎn)檢測(cè)，滲透測(cè)試、配置審計(jì)和報(bào)表管理。

產(chǎn)品的功能結(jié)構(gòu)圖如下：  

3.2 功能描述  

◆深度掃描：以風(fēng)險(xiǎn)為導(dǎo)向?qū)EB應(yīng)用進(jìn)行深度遍歷，獲得后臺(tái)數(shù)據(jù)庫信息及WEB應(yīng)用列表  

◆WEB漏洞檢測(cè)：對(duì)各類典型Web漏洞（如：SQL注入、Xpath注入、XSS、表單繞過、表單弱口令、各類CGI弱點(diǎn)、網(wǎng)頁木馬、跨站占請(qǐng)求偽造等）進(jìn)行深度檢測(cè) 

◆網(wǎng)頁木馬檢測(cè)：對(duì)各種掛馬方式的網(wǎng)頁木馬進(jìn)行全自動(dòng)、高性能、智能化分析，并對(duì)網(wǎng)頁木馬傳播的病毒類型做出準(zhǔn)確剖析和網(wǎng)頁木馬宿主做出精確定位? 

◆滲透測(cè)試：通過當(dāng)前弱點(diǎn)，完全模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，對(duì)目標(biāo)WEB應(yīng)用的安全性做出深入分析，并實(shí)施無害攻擊，取得系統(tǒng)安全威脅的直接證據(jù)  

◆配置審計(jì)：通過當(dāng)前弱點(diǎn)，模擬黑客攻擊，實(shí)現(xiàn)數(shù)據(jù)庫的審計(jì)功能，獲得后臺(tái)數(shù)據(jù)庫連接信息、數(shù)據(jù)庫實(shí)例名、數(shù)據(jù)庫版本、數(shù)據(jù)字典等配置信息  

◆檢測(cè)數(shù)據(jù)庫類型：MSSQL/ACCESS/MYSQL/ORACLE/DB2/INFORMIX/SYBASE ? 

◆完整風(fēng)險(xiǎn)評(píng)估報(bào)告：報(bào)告格式：提供詳細(xì)的檢測(cè)掃描報(bào)告，包括掃描的URL信息、漏洞類型、安全加固建議等，報(bào)表格式支持PDF、XML、HTML、MHT、DOC、XLS、RPF等。  

◆報(bào)告模式：   

◆程序員報(bào)表：用于顯示與應(yīng)用相關(guān)的問題，包括具體漏洞位置、加固建議等內(nèi)容。   

◆管理員報(bào)表：用于顯示基礎(chǔ)架構(gòu)存在的問題，包括漏洞數(shù)量，漏洞種類等內(nèi)容。  

◆掃描模式：客戶可以靈活選擇掃描器以下工作模式：   

◆工作方式：自動(dòng)掃描、被動(dòng)掃描(Proxy)  

◆掃描方式：簡(jiǎn)單模式（單個(gè)域名）、批量模式（多個(gè)域名）   

◆掃描范圍：當(dāng)前URL、當(dāng)前子域名、整個(gè)域、任何URL   

◆掃描深度：根據(jù)需要設(shè)置掃描層次   

◆掃描線程：根據(jù)實(shí)際的網(wǎng)絡(luò)連接情況和測(cè)試目標(biāo)的承受能力進(jìn)行設(shè)置   

◆掃描例外：同時(shí)支持路徑例外、文件例外兩種設(shè)置   

◆大小寫區(qū)分：可在掃描過程中區(qū)分目錄、文件等大小寫設(shè)定   

◆強(qiáng)制檢測(cè)URL：可設(shè)定強(qiáng)制檢測(cè)的URL地址   

◆Flash支持：支持首頁為FLASH跳轉(zhuǎn)等頁面爬行  

3.3 深度掃描及滲透測(cè)試流程舉例  

 #p#

4 產(chǎn)品特點(diǎn)  

◆全面、深度、準(zhǔn)確評(píng)估WEB應(yīng)用弱點(diǎn)，有效提高主動(dòng)防御能力

系統(tǒng)通過網(wǎng)站遍歷，對(duì)目標(biāo)網(wǎng)站進(jìn)行完整掃描，可全面、深度、準(zhǔn)確檢測(cè)WEB應(yīng)用安全弱點(diǎn)，如XSS跨站腳本,SQL注入，網(wǎng)站木馬等主要安全威脅，為WEB應(yīng)用提供全方位主動(dòng)保護(hù)。 

◆全面支持SSL的掃描工具

能夠自動(dòng)獲取所有必須的要素，對(duì)基于SSL傳輸?shù)膬?nèi)容進(jìn)行分析，可對(duì)網(wǎng)銀等基于HTTPS協(xié)議的WEB應(yīng)用進(jìn)行安全評(píng)估。

◆業(yè)界唯一集成“網(wǎng)頁木馬自動(dòng)檢測(cè)”的掃描軟件   

◆針對(duì)各類網(wǎng)頁被篡改后植入惡意代碼(木馬)的自動(dòng)檢測(cè)分析，支持各類掛馬方式檢測(cè)如：Iframe、CSS、JS、SWF、ActiveX等等。   

◆木馬分析: 全自動(dòng)、高性能、智能化, 對(duì)所有網(wǎng)頁鏈接進(jìn)行木馬分析。   

◆木馬溯源：利用安恒獨(dú)特的溯源技術(shù)，追查出網(wǎng)頁木馬傳播的病毒、木馬程序所在位置并且做出準(zhǔn)確剖析。 

◆獨(dú)有的“取證”模式確保評(píng)估結(jié)果準(zhǔn)確可信

明鑒WEB應(yīng)用弱點(diǎn)掃描器與市場(chǎng)上可見的任何一款同類產(chǎn)品的不同之處在于：它不僅具有非凡的掃描功能，還提供了強(qiáng)大的滲透測(cè)試功能。掃描策略精確針對(duì)各個(gè)數(shù)據(jù)庫系統(tǒng)特點(diǎn)，通過發(fā)現(xiàn)的弱點(diǎn)并進(jìn)行滲透測(cè)試取得弱點(diǎn)存在的直接證據(jù)，從而確保最終報(bào)告風(fēng)險(xiǎn)漏洞存在的不可抵賴性。 

◆完備豐富的風(fēng)險(xiǎn)評(píng)估報(bào)告   

◆掃描結(jié)果通過完整的評(píng)估報(bào)告方式呈現(xiàn)給用戶   

◆評(píng)估報(bào)告提供相關(guān)弱點(diǎn)分析和分級(jí)并提出相應(yīng)加固建議方案  

◆支持“雙?！睊呙枘Ｊ?，工具靈活應(yīng)用   

◆全自動(dòng)地進(jìn)行主動(dòng)模式掃描模式   

◆被動(dòng)掃描模式（Proxy），可以作為WEB應(yīng)用開發(fā)黑盒測(cè)試工具  

◆智能掃描引擎

支持無限代理服務(wù)器（包括HTTP和HTTPS），并且能夠動(dòng)態(tài)地進(jìn)行選擇，保證測(cè)試和掃描期間的穩(wěn)定性。

5 結(jié)論

杭州安恒信息技術(shù)有限公司的核心團(tuán)隊(duì)擁有多年互聯(lián)網(wǎng)應(yīng)用安全防衛(wèi)、網(wǎng)絡(luò)安全審計(jì)、數(shù)據(jù)庫安全審計(jì)的深厚技術(shù)背景，擁有全球領(lǐng)先的具有完全知識(shí)產(chǎn)權(quán)的安全技術(shù)；為明鑒WEB應(yīng)用弱點(diǎn)掃描器（MatriXay2.0）的成功推出奠定了有力的基礎(chǔ)。MatriXay2.0是一款深度針對(duì)WEB應(yīng)用的遠(yuǎn)程安全評(píng)估系統(tǒng)，由資深安全專家經(jīng)歷數(shù)年的時(shí)間研發(fā)而成，它能夠輕松應(yīng)對(duì)各種復(fù)雜的WEB應(yīng)用，全面深入發(fā)現(xiàn)WEB應(yīng)用中存在的安全弱點(diǎn)，全自動(dòng)/智能化檢測(cè)網(wǎng)頁中存在的木馬。

MatriXay旨在降低WEB應(yīng)用的風(fēng)險(xiǎn)，降低國家利益、社會(huì)利益、企業(yè)利益乃至個(gè)人利益受損風(fēng)險(xiǎn)，廣泛適用于“政府、電信、金融、證券、公安、教育、稅務(wù)、電力、電子商務(wù)”等等所有涉及WEB應(yīng)用的各個(gè)領(lǐng)域。

MatriXay現(xiàn)有的客戶涵蓋公安、運(yùn)營(yíng)商、政府、地稅、金融等各個(gè)行業(yè)，許多世界500強(qiáng)企業(yè)（如：Oracle、HP等）都使用MatriXay提升企業(yè)WEB應(yīng)用的整體安全性。