明鉴WEB应用弱点扫描器产品白皮书5.0.doc

Internet发展到今天，基于WEB和数据库架构的应用系统已经逐渐成为主流，广泛应用于企业内部和外部的业务系统中。在网络高速公路不断拓展、电子政务、电子商务和各种基于WEB应用的业务模式不断成熟的今天，却有报道称全球电子商务的发展正在下滑。究其原因，根源在于近两年关于网络钓鱼、SQL注入、木马和跨站脚本等攻击事件带来的严重后果，影响了人们对WEB应用的信心。根据Gartner的报告，目前网络中常见的攻击已经由传统的系统漏洞攻击逐渐发展演变为对应用自身弱点的攻击，其中最常见的攻击技术就是针对WEB应用的SQL注入和钓鱼攻击。 国际权威组织OWASP（开源WEB应用安全项目）2010年最新报告显示，WEB安全的挑战主要来自以下几个方面： 网页篡改； 网络仿冒（钓鱼）； 信息泄露； 网页挂马。 据国家计算机网络应急技术处理协调中心的统计调查显示，2010年中国的互联网安全状况，从整体数据上看相比去年有略微好转，网页篡改事件和网页挂马事件从总数上有所降低，然而，电子政府和网上交易网站安全事件相比去年增加了近18个百分点。以此可以看出，攻击者从技术上针对不同网站所采用了不同的攻击方式以达到攻击目的，在过程中其政治趋势和利益趋势非常明显。 我们发现对于政府类或安全管理相关网站，攻击者主要采用篡改网页、放置恶意代码等攻击形式，干扰正常业务的开展（如利用网络钓鱼和网址嫁接等对金融机构、网上交易等站点进行网络仿冒）、蓄意破坏政府或企业形象，严重的导致网站被迫停止服务。对于个人用户，攻击者更多的是通过用户身份窃取（如：利用间谍软件和木马程序等）手段，偷取用户游戏账号、银行账号、密码等，窃取用户的私有财产。明鉴WEB应用弱点扫描器（MatriXay）是杭州安恒信息技术有限公司在深入分析研究B/S典型应用架构中常见安全漏洞以及流行的攻击技术基础上，研制开发的一款WEB应用安全专用评估工具。它采用漏洞产生的原理和渗透测试的方法，对WEB应用进行深度弱点探测，可帮助应用开发者和管理者了解应用系统存在的脆弱性，为改善并提高应用系统安全性提供依据，帮助用户建立安全可靠的WEB应用服务，对WEB应用攻击说“不！” MatriXay是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成，该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布，引起世界众多信息安全爱好者的关注；2007年12月安恒发布MatriXay2.0，在2008北京奥运会信息安全保障中发挥了积极的作用，获得奥组委的肯定；MatriXay3.6版本于2009年国庆60周年政府网站安全大检查之际，为近7000家政府网站进行了深度安全评估；2010年最新发布的MatriXay5.0在上海世博会和广州亚运会期间的应用安全保障做出了杰出的贡献。 MatriXay作为一款WEB应用安全专用评估工具得到了最为广泛的应用和肯定被业界评价为“最佳的WEB安全评估工具”。 MatriXay工信部安全中心Web安全检查工具MatriXay5.0(2011版) 全面支持OWASP TOP 10检测，可以帮助用户充分了解WEB应用存在的安全隐患，建立安全可靠的WEB应用服务，改善并提升应用系统抗各类WEB应用攻击的能力（如：注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出 用户案例公安部等级保护测评中心公安部一所测评中心上海信息安全工程技术研究中心上海市信息安全研究中心江苏省信息安全测评中心山东省电子产品监督检验所浙江省电子产品检验所江西省电子信息产品监督检验院吉林电子信息产品监督检验研究院广西壮族自治区电子产品监督检验所厦门市信息技术服务中心福建省网络与信息安全测评中心 运营商 中国电信北京研究院 中国电信广东研究院 上海移动 江苏移动 甘肃移动 浙江移动 浙江联通 中国电信系统集成有限责任公司 联通系统集成有限公司山东省分公司 宁波联通上海电力股份有限公司浙江省电力公司贵州电网公司 上海东方网 盛大网络 中国航天科工集团公司 …… 应用结论 杭州安恒信息技术有限公司的核心团队拥有多年互联网应用安全、网络安全审计、数据库安全审计的深厚技术背景，拥有全球领先的具有完全知识产权的安全技术；为明鉴WEB应用弱点扫描器（MatriXay5.0）的成功推出奠定了有力的基础。MatriXay5.0是一款深度针对WEB应用的远程安全评估系统，由资深安全专家经历数年的时间研发而成，它能够轻松应对各种复杂的WEB应用，全面深入发现WEB应用中存在的安全弱点，全自动/智能化检测网页中存在的木马。 MatriXay旨在降低WEB应用的风险，降低国家利益、社会利益、企业利益乃至个人利益受损风险，广泛适用于“”等等所有涉及WEB应用的各个领域