WEB应用弱点扫描器.docxVIP

明鉴?WEB应用弱点扫描器 ——最佳WEB应用安全评估工具 产品概述 明鉴?WEB应用弱点扫描器（简称：MatriXay 5.0）是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成，该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月 发布,并在08奥运会WEB安全保障中发挥了重要的作用。2009年3.6版本 成功入选工信部安全中心Web应用安全检查工具。与市场上同类产品的不同之处在于：不仅具有精确的“取证式”扫描功能，还提供了强大的安全审计、渗透测试功能，误报率和漏报率等各项关键指标均达到国际领先水平，因此，被评价为“最佳的WEB安全评估工具”。 MatriXay 5.0(2011版) 旨在降低WEB应用的风险，使国家利益、社会利益、企业利益乃至个人利益的受损风险降低，广泛适用于“等级保护测评机构、公安、运营商、金融、电力能源、政府、教育”等各领域内的互联网应用、门户网站及内部核心业务系统（如网银、网上营业厅、OSS系统、ERP系统、OA系统等）。 作为公安部等级保护测评中心专用应用安全测评工具，工信部安全中心Web应用安全检查工具，MatriXay 5.0 (2011版) 全面支持OWASP TOP 10检测，可以帮助用户充分了解WEB应用存在的安全隐患，建立安全可靠的WEB应用服务，改善并提升应用系统抗各类WEB应用攻击的能力（如：注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等），协助用户满足等级保护、PCI、内控审计等规范要求。 主要功能 深度扫描：以web漏洞风险为导向, 通过对web应用（包括WEB2.0、JAVAScript、FLASH等）进行深度遍历,以安全风险管理为基础,支持各类web应用程序的扫描。 WEB漏洞检测：提供有丰富的策略包，针对各种WEB应用系统以及各种典型的应用漏洞进行检测（如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据等）。 网页木马检测：对各种挂马方式的网页木马进行全自动、高性能、智能化分析，并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。 配置审计：通过当前弱点获取数据库的相关敏感信息，对后台数据库进行配置审计，如弱口令、弱配置等。 渗透测试：通过当前弱点，模拟黑客使用的漏洞发现技术和攻击手段，对目标WEB应用的安全性做出深入分析，并实施无害攻击，取得系统安全威胁的直接证据。 图1 产品界面? 产品特点 全面、深度、准确评估WEB应用弱点，有助于提高主动防御能力 支持的WEB应用类型 全面支持WEB 2.0，支持各类JavaScript脚本解析 全面支持FLASH解析 支持WAP类及WMLScript脚本类应用系统 支持基于HTTPS应用系统的检测 首家支持国内、国外知名WEB应用程序漏洞扫描 支持所有类型的动态页面 支持HTTP 1.0和1.1标准的Web应用系统 支持各类认证方式 支持基于支持包括Basic、Digest、NTLM在内的认证方式 支持HTTP和SOCKS代理，并支持各种代理的认证方式 支持的数据库类型 Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、 Ingres等 支持的弱点类型（包含OWASP TOP 10：A1-注入攻击、A2-跨站脚本（XSS）、A3-失效的认证和会话管理：、A4-不安全的直接对象引用、A5-跨站请求伪造、A6-安全配置错误、A7-限制URL访问失败、A8-尚未认证的重定向和转发、A9-不安全的密码储藏、A10-传输层保护不足) SQL注入 XSS跨站脚本 伪造跨站点请求 网页木马 隐藏字段 表单绕过 AJAX注入 弱配置 敏感信息泄漏 HI－JACK攻击 弱口令 Xpath注入 LDAP注入 框架注入 操作系统命令注入 Flash源代码泄漏 Flash跨域攻击 Cookies注入 敏感文件 第三方软件 其他各类CGI漏洞 灵活可定义的扫描工作模式 支持普通扫描模式、命令扫描模式 支持边爬行边检测、先爬行后检测、只爬行网站链接、只检测现有URL等多种扫描方式 扫描方式：简单模式（单个域名）、批量模式（多个域名） 扫描范围：当前URL、当前子域名、当前域名、任何URL 支持无人值守模式下的全自动扫描 工作方式：主动扫描、被动扫描(Proxy) 扫描深度：支持无限扫描深度 扫描过程可以随时中断/恢复，扫描结果实时存储 支持多任务、多线程、多引擎并行扫描 支持扫描例外设置 支持扫描项目文件加密管理 支持配置文件导入和导出 深度智能扫描引擎 全面支