【51CTO.com 獨家特稿】關注信息安全的人都很清楚黑客入侵網絡的過程，通常是先利用掃描工具搜集目標主機或網絡的詳細信息，進而發(fā)現(xiàn)目標系統(tǒng)的漏洞或脆弱點，然后根據(jù)脆弱點的位置、詳細說明展開攻擊。

所謂知己知彼百戰(zhàn)不殆，如果企業(yè)先對自己的網絡和網站進行弱點掃描，那么很有可能將黑客拒之門外。作為企業(yè)的安全管理人員有必要利用一些掃描工具，通過掃描得到的結果信息及時發(fā)現(xiàn)系統(tǒng)漏洞并采取相應的補救措施，從而免受入侵者攻擊。因此，檢測和消除系統(tǒng)中存在的弱點就成為企業(yè)安全管理人員所要關注的重要課題。

說到掃描器，業(yè)內人士都很清楚，開源免費的掃描器有很多，以國外工具居多。但本文將要給大家介紹的是國內知名安全廠商安恒公司開發(fā)的，針對Web應用攻擊的掃描產品——明鑒Web應用弱點掃描器。

之所以要拿明鑒（MatriXay）這款產品說事，是因為明鑒在全球獲得專利號為US60/835471的Web應用安全深度掃描專利。同時，明鑒也是公安部和浙江省信息安全等級保護專用應用安全測評工具。從這兩點上說明，明鑒具有一定的代表性，一方面代表了世界上獲得專利的領先技術，另一方面又獲得了國家相關部門的認可?？梢哉f，明鑒足以印證Web應用掃描市場的一些軌跡。

據(jù)記者了解，明鑒（MatriXay）是于2006年8月的世界安全大會BlackHat（黑帽大會）和Def-Con上首次發(fā)布，被評價為“最佳的WEB安全評估工具。事實上，明鑒（MatriXay）是由安恒安全專家團隊在深入分析研究WEB-數(shù)據(jù)庫構架應用系統(tǒng)中典型安全漏洞以及流行的攻擊技術基礎上，研制開發(fā)的一款WEB應用安全評估工具。2010年11月25日，安恒公司向業(yè)界公布了明鑒的最新版本，5.0版。在了解最新版本有哪些特性之前，有必要先了解一下弱點掃描的相關知識。

從掃描過程來看，網絡安全掃描工具大體可分為網絡掃描（PING），端口掃描，弱點掃描幾種類型。其中，弱點掃描器是用來自動檢查一個本地或者遠程主機的安全漏洞的程序。與其他端口掃描器一樣，他們查詢端口并記錄返回結果。網絡弱點掃描系統(tǒng)根據(jù)所定義的漏洞列表對目標系統(tǒng)的弱點信息進行收集，比較和分析，一但發(fā)現(xiàn)目標主機漏洞便提交報告給用戶，并說明如何利用該漏洞以及如何對該漏洞進行修補，一個好的弱點掃描器能成功獲得關于目標系統(tǒng)安全脆弱點的詳細信息和提供修補這些脆弱點應采取的措施，這些信息對企業(yè)安全管理人員維護網絡的安全，起到至關重要的作用。

明鑒（MatriXay）5.0版一些值得關注的功能：
◆深度掃描：以web漏洞風險為導向, 通過對web應用（包括WEB2.0、JAVAScript、FLASH等）進行深度遍歷，以安全風險管理為基礎，支持各類web應用程序的掃描。
◆Web漏洞檢測：提供有豐富的策略包，針對各種WEB應用系統(tǒng)以及各種典型的應用漏洞進行檢測（如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、代碼注入、表單繞過、弱口令、敏感文件和目錄、管理后臺、敏感數(shù)據(jù)等）。
◆網頁木馬檢測：對各種掛馬方式的網頁木馬進行全自動、高性能、智能化分析，并對網頁木馬傳播的病毒類型做出準確剖析和網頁木馬宿主做出精確定位。
◆配置審計：通過當前弱點獲取數(shù)據(jù)庫的相關敏感信息，對后臺數(shù)據(jù)庫進行配置審計，如弱口令、弱配置等。
◆滲透測試：通過當前弱點，模擬黑客使用的漏洞發(fā)現(xiàn)技術和攻擊手段，對目標WEB應用的安全性做出深入分析，并實施無害攻擊，取得系統(tǒng)安全威脅的直接證據(jù)。

一款好的Web應用弱點掃描器，與支持的Web應用類型有很大關系，支持的類型越多，掃描的精度和準確度就有保障，我們來看一看明鑒（MatriXay）5.0版的Web應用支持類型：
◆支持WEB 2.0，支持各類JavaScript腳本解析
◆支持FLASH解析
◆WAP類及WMLScript腳本類應用系統(tǒng)
◆支持基于HTTPS應用系統(tǒng)的檢測
◆首家支持國內、國外知名Web應用程序漏洞掃描
◆支持所有類型的動態(tài)頁面
◆支持HTTP 1.0和1.1標準的Web應用系統(tǒng)

其中，值得關注的是支持FLASH的解析，目前國外開源的掃描器還都不提供這種支持。此外，明鑒也支持各類認證方式，包括Basic、Digest、NTLM在內的認證方式；支持的數(shù)據(jù)庫有
Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、Ingres等。

明鑒（MatriXay）5.0版的部署：

從圖中，我們可以看出，明鑒弱點掃描器是部署在應用服務器上的，5.0新版與以往版本最大的不同，就是改變了算法，并提升了掃描性能，據(jù)安恒信息公司北方區(qū)技術總監(jiān)李麒介紹，新版產品可以運行在任何一臺PC上，哪怕是筆記本對性能也無任何影響。

誤報率和漏報率：
眾所周知，任何掃描產品都會存在誤報和漏報，這也是應用層掃描存在的兩個難題，并且在這方面也沒有衡量標準，目前國際上對誤報率可以接受的范圍是15%-20%，明鑒5.0新版產品利用的是樹形獨立深度算法，將掃描到的結果送至沙盒中，把誤報率降低到3%以下，這可以說是國際上的一種突破，也印證了為什么明鑒在國際上獲得了Web應用安全深度掃描專利。此外，通過對知識庫的積累，也有效地降低漏報率。

Web應用掃描市場正走向成熟
假設被攻擊的網站，在危險發(fā)生之前，能夠利用Web應用弱點掃描器進行滲透測試，找到問題所在，并及時修補，則很有可能將黑客拒之門外。這是企業(yè)安全管理人員所必須關注的問題。

事實上，市場上也充斥著各種各樣的掃描器，有的是漏洞掃描，有的是端口掃描，但針對Web應用攻擊的掃描器必須具備良好的性能，及時發(fā)現(xiàn)新型攻擊手段，因為Web應用攻擊是所有攻擊中最不穩(wěn)定，也是數(shù)量最龐大，手段最多的攻擊方式。

毫不夸張的說，以往掃描器是黑客用來攻擊的工具之一，現(xiàn)在安全意識提高的企業(yè)CIO和CTO們逐漸意識到這個領域的重要性，這也給整個信息安全產業(yè)鏈帶來了良性的發(fā)展機遇，相信在未來2-3年內，針對Web應用攻擊的弱點掃描器將會大放異彩。

附：OWASP十大常見Web應用攻擊
國際Web開源非盈利性組織OWASP前不久公布了今年的十大Web應用威脅排行，OWASP Top 10 for 2010（2010年OWASP十大常見Web應用攻擊）：
1、 SQL注入（SQL injection）：
2、 跨站腳本攻擊：
3、 失效的認證和會話管理
4、 不安全的直接對象引用
5、 跨站偽造請求（CSRF）
6、 安全配置錯誤
7、 限制訪問URL失效
8、 尚未驗證的重定向和轉發(fā)
9、 不安全的密碼儲存
10、 傳輸層保護不足

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】