明鉴WEB应用弱点扫描器产品白皮书5.0.docVIP

Internet发展到今天，基于WEB和数据库架构的应用系统已经逐渐成为主流，广泛应用于企业内部和外部的业务系统中。在网络高速公路不断拓展、电子政务、电子商务和各种基于WEB应用的业务模式不断成熟的今天，却有报道称全球电子商务的发展正在下滑。究其原因，根源在于近两年关于网络钓鱼、SQL注入、木马和跨站脚本等攻击事件带来的严重后果，影响了人们对WEB应用的信心。根据Gartner的报告，目前网络中常见的攻击已经由传统的系统漏洞攻击逐渐发展演变为对应用自身弱点的攻击，其中最常见的攻击技术就是针对WEB应用的SQL注入和钓鱼攻击。 国际权威组织OWASP（开源WEB应用安全项目）2010年最新报告显示，WEB安全的挑战主要来自以下几个方面： 网页篡改； 网络仿冒（钓鱼）； 信息泄露； 网页挂马。 据国家计算机网络应急技术处理协调中心的统计调查显示，2010年中国的互联网安全状况，从整体数据上看相比去年有略微好转，网页篡改事件和网页挂马事件从总数上有所降低，然而，电子政府和网上交易网站安全事件相比去年增加了近18个百分点。以此可以看出，攻击者从技术上针对不同网站所采用了不同的攻击方式以达到攻击目的，在过程中其政治趋势和利益趋势非常明显。 我们发现对于政府类或安全管理相关网站，攻击者主要采用篡改网页、放置恶意代码等攻击形式，干扰正常业务的开展（如利用网络钓鱼和网址嫁接等对金融机构、网上交易等站点进行网络仿冒）、蓄意破坏政府或企业形象，严重的导致网站被迫停止服务。对于个人用户，攻击者更多的是通过用户身份窃取（如：利用间谍软件和木马程序等）手段，偷取用户游戏账号、银行账号、密码等，窃取用户的私有财产。 明鉴?WEB应用弱点扫描器（MatriXay）是杭州安恒信息技术有限公司在深入分析研究B/S典型应用架构中常见安全漏洞以及流行的攻击技术基础上，研制开发的一款WEB应用安全专用评估工具。它采用漏洞产生的原理和渗透测试的方法，对WEB应用进行深度弱点探测，可帮助应用开发者和管理者了解应用系统存在的脆弱性，为改善并提高应用系统安全性提供依据，帮助用户建立安全可靠的WEB应用服务，对WEB应用攻击说“不！” MatriXay是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成，该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布，引起世界众多信息安全爱好者的关注；2007年12月安恒发布MatriXay2.0，在2008北京奥运会信息安全保障中发挥了积极的作用，获得奥组委的肯定；MatriXay3.6版本成功入选工信部安全中心Web应用安全检查工具，并于2009年国庆60周年政府网站安全大检查之际，为近7000家政府网站进行了深度安全评估；2010年最新发布的MatriXay5.0在上海世博会和广州亚运会期间的应用安全保障做出了杰出的贡献。 MatriXay作为一款WEB应用安全专用评估工具，不仅具有精确的“取证式”扫描功能，还提供了强大的安全审计、渗透测试功能，误报率和漏报率等各项关键指标均达到国际领先水平，得到了最为广泛的应用和肯定，被业界评价为“最佳的WEB安全评估工具”。 MatriXay旨在降低WEB应用的风险，使国家利益、社会利益、企业利益乃至个人利益的受损风险降低，广泛适用于“等级保护测评机构、公安、运营商、金融、电力能源、政府、教育”等各领域内的互联网应用、门户网站及内部核心业务系统（如网银、网上营业厅、OSS系统、ERP系统、OA系统等）。 作为公安部等级保护测评中心专用应用安全测评工具，工信部安全中心Web应用安全检查工具，MatriXay5.0(2011版) 全面支持OWASP TOP 10检测，可以帮助用户充分了解WEB应用存在的安全隐患，建立安全可靠的WEB应用服务，改善并提升应用系统抗各类WEB应用攻击的能力（如：注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等），协助用户满足等级保护、PCI、内控审计等规范要求。 用户案例 国家部委 2008北京奥组委 国家计算机网络与信息安全管理中心 中国科学院计算机网络信息中心 国家广播电视安全播出调度中心 中国国际电子商务中心 全国组织机构代码管理中心 国家信息化评测中心(CECA) 等保评估/安全服务机构 公安部等级保护测评中心 公安部一所测评中心 上海信息安全工程技术研究中心 上海市信息安全研究中心 江苏省信息安全测评中心 山东省电子产品监督检验所 浙江省电子产品检验所 江西省电子信息产品监督检验院 吉林电子信息产品监督检验研究院 广西壮族自治区电子产品监督检验所 厦门市信息技术服务中心 福建省网络与信息安全测评中心 重庆网安计算机技术服务中心 河南省电子产品质量监督检验所