- 1、本文档共11页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
33深度扫描及渗透测试流程举例.doc
安恒信息明鉴Web应用弱点扫描器产品白皮书
当前WEB应用面临的主要安全威胁
美国最权威的RSA大会研究显示,Web应用安全已超过所有以前网络层安全(如DDos),逐渐成为最严重、最广泛、危害性最大的安全问题。WEB安全的挑战主要来自以下几个方面:
XSS跨站攻击;
SQL 注入;
网络钓鱼;
恶意代码;
伪造ARP报文;
RootKit隐身技术等等;
据国家计算机网络应急技术处理协调中心的统计调查显示,2008年中国的互联网安全状况不容乐观,各种网络安全事件与去年同期相比都有明显增加、被植入木马的主机数量大幅攀升。中心通过技术平台共捕获约90 万个恶意代码,比去年同期增长62.5%;网页篡改事件和网络仿冒事件同比增长分别是23.7%和38%;木马控制端IP地址总数为280068个,被控制端IP地总数1485868个。
与此同时,攻击者从技术上针对不同网站所采用了不同的攻击方式以达到攻击目的,在过程中其利益趋势非常明显。对于政府类或安全管理相关网站,攻击者主要采用篡改网页、放置恶意代码等攻击形式,干扰正常业务的开展(如利用网络钓鱼和网址嫁接等对金融机构、网上交易等站点进行网络仿冒)、蓄意破坏政府或企业形象,严重的导致网站被迫停止服务。对于个人用户,攻击者更多的是通过用户身份窃取(如:利用间谍软件和木马程序等)手段,偷取用户游戏账号、银行账号、密码等,窃取用户的私有财产。
如此的安全状况,给WEB应用系统的稳定运行带来了前所未有的压力,WEB应用系统的安全已经成为了目前迫切需要解决的问题。
然而,面对如此严重的安全威胁,目前市场缺少相应的安全解决方案有效应对。
基于此,杭州安恒信息技术有限公司推出了全球领先的WEB应用弱点评估工具—明鉴TMWEB应用弱点扫描器(MatriXay),为您的WEB应用提供安全风险评估和主动防御工具。
产品概述
明鉴TMWEB应用弱点扫描器(MatriXay)是杭州安恒信息技术有限公司在深入分析研究WEB-数据库构架应用系统中典型安全漏洞以及流行的攻击技术基础上,研制开发的一款WEB应用安全评估工具。它采用攻击技术的原理和渗透性测试的方法,对WEB应用进行深度漏洞探测,可帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据,帮助用户建立安全可靠的WEB应用服务,对WEB应用攻击说“不!”
明鉴TMWEB应用弱点扫描器(简称:MatriXay 3.6)是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成,该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月 发布,并在08奥运WEB安全保障中发挥了重要的作用。与市场上同类产品的不同之处在于:不仅具有非凡的扫描功能,还提供了强大的渗透测试、网页木马检测功能。因此,被评价为“最佳的WEB安全评估工具”。
MatriXay 3.6(2009版) 旨在降低WEB应用的风险,使国家利益、社会利益、企业利益乃至个人利益的受损风险降低,广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、等级保护测评机构、教育、电子商务及企业”等各领域的网站和内部B/S系统(如OSS系统、ERP系统、OA系统等)。
作为公安部等级保护测评中心专用应用安全测评工具,工信部安全中心运营商安全Web和数据库安全检查工具,MatriXay 3.6 (2009版)可以帮助用户充分了解WEB应用存在的安全隐患,建立安全可靠的WEB应用服务,改善并提升应用系统抗各类WEB应用攻击的能力(如:注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等)。
主要功能
软件功能结构
明鉴WEB应用弱点扫描器(MatriXay)主要功能包含:全局配置,系统管理,项目管理,项目扫描、弱点检测,渗透测试、配置审计和报表管理。
产品的功能结构图如下:
功能描述
深度扫描:以风险为导向对WEB应用进行深度遍历,获得后台数据库信息及WEB应用列表
WEB漏洞检测:对各类典型Web漏洞(如:SQL注入、Xpath注入、XSS、表单绕过、表单弱口令、各类CGI弱点、网页木马、跨站占请求伪造等)进行深度检测
网页木马检测:对各种挂马方式的网页木马进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位
渗透测试:通过当前弱点,完全模拟黑客使用的漏洞发现技术和攻击手段,对目标WEB应用的安全性做出深入分析,并实施无害攻击,取得系统安全威胁的直接证据
配置审计:通过当前弱点,模拟黑客攻击,实现数据库的审计功能,获得后台数据库连接信息、数据库实例名、数据库版本、数据字典等配置信息
检测数据库类型:MSSQL/ACCESS/M
您可能关注的文档
最近下载
- 主管药师竞聘.pptx VIP
- 压疮的分期及处理.ppt
- 《鹊桥仙》(共19张PPT)统编版高中语文必修上册.pptx VIP
- 图书馆狮子儿童绘本.ppt
- 成都市建设工程围挡设置技术指南.pdf
- 2023年春重庆理工大学《00015大学英语》题库答案.pdf VIP
- 领导干部日常工作生活中应知应会的法律知识:贪污、受贿、职务侵占等犯罪的案例分析和警示教育(下篇)-2024年云南省执业药师公需课答案.docx VIP
- 银行营销个人工作计划5篇.docx VIP
- 2024年春季国开《学前教育科研方法》期末大作业(参考答案).docx
- 2024-2025学年初中音乐七年级下册苏少版(2024)教学设计合集.docx
文档评论(0)