【51CTO.com 综合消息】1 当前WEB应用面临的主要安全威胁
美国最权威的RSA大会研究显示,Web应用安全已超过所有以前网络层安全(如DDos),逐渐成为最严重、最广泛、危害性最大的安全问题。WEB安全的挑战主要来自以下几个方面:
◆XSS跨站攻击;
◆SQL 注入;
◆网络钓鱼;
◆恶意代码;
◆伪造ARP报文;
◆RootKit隐身技术等等;
据国家计算机网络应急技术处理协调中心的统计调查显示,2008年中国的互联网安全状况不容乐观,各种网络安全事件与去年同期相比都有明显增加、被植入木马的主机数量大幅攀升。中心通过技术平台共捕获约90 万个恶意代码,比去年同期增长62.5%;网页篡改事件和网络仿冒事件同比增长分别是23.7%和38%;木马控制端IP地址总数为280068个,被控制端IP地总数1485868个。
与此同时,攻击者从技术上针对不同网站所采用了不同的攻击方式以达到攻击目的,在过程中其利益趋势非常明显。对于政府类或安全管理相关网站,攻击者主要采用篡改网页、放置恶意代码等攻击形式,干扰正常业务的开展(如利用网络钓鱼和网址嫁接等对金融机构、网上交易等站点进行网络仿冒)、蓄意破坏政府或企业形象,严重的导致网站被迫停止服务。对于个人用户,攻击者更多的是通过用户身份窃取(如:利用间谍软件和木马程序等)手段,偷取用户游戏账号、银行账号、密码等,窃取用户的私有财产。
如此的安全状况,给WEB应用系统的稳定运行带来了前所未有的压力,WEB应用系统的安全已经成为了目前迫切需要解决的问题。
然而,面对如此严重的安全威胁,目前市场缺少相应的安全解决方案有效应对。
基于此,杭州安恒信息技术有限公司推出了全球领先的WEB应用弱点评估工具—明鉴TMWEB应用弱点扫描器(MatriXay),为您的WEB应用提供安全风险评估和主动防御工具。#p#
2 产品概述
明鉴TMWEB应用弱点扫描器(MatriXay)是杭州安恒信息技术有限公司在深入分析研究WEB-数据库构架应用系统中典型安全漏洞以及流行的攻击技术基础上,研制开发的一款WEB应用安全评估工具。它采用攻击技术的原理和渗透性测试的方法,对WEB应用进行深度漏洞探测,可帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据,帮助用户建立安全可靠的WEB应用服务,对WEB应用攻击说“不!”
明鉴TMWEB应用弱点扫描器(简称:MatriXay 3.6)是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成,该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月 发布,并在08奥运WEB安全保障中发挥了重要的作用。与市场上同类产品的不同之处在于:不仅具有非凡的扫描功能,还提供了强大的渗透测试、网页木马检测功能。因此,被评价为“最佳的WEB安全评估工具”。
MatriXay 3.6(2009版) 旨在降低WEB应用的风险,使国家利益、社会利益、企业利益乃至个人利益的受损风险降低,广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、等级保护测评机构、教育、电子商务及企业”等各领域的网站和内部B/S系统(如OSS系统、ERP系统、OA系统等)。
作为公安部等级保护测评中心专用应用安全测评工具,工信部安全中心运营商安全Web和数据库安全检查工具,MatriXay 3.6 (2009版)可以帮助用户充分了解WEB应用存在的安全隐患,建立安全可靠的WEB应用服务,改善并提升应用系统抗各类WEB应用攻击的能力(如:注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等)。#p#
3 主要功能
3.1 软件功能结构
明鉴WEB应用弱点扫描器(MatriXay)主要功能包含:全局配置,系统管理,项目管理,项目扫描、弱点检测,渗透测试、配置审计和报表管理。
产品的功能结构图如下:
3.2 功能描述
◆深度扫描:以风险为导向对WEB应用进行深度遍历,获得后台数据库信息及WEB应用列表
◆WEB漏洞检测:对各类典型Web漏洞(如:SQL注入、Xpath注入、XSS、表单绕过、表单弱口令、各类CGI弱点、网页木马、跨站占请求伪造等)进行深度检测
◆网页木马检测:对各种挂马方式的网页木马进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位?
◆渗透测试:通过当前弱点,完全模拟黑客使用的漏洞发现技术和攻击手段,对目标WEB应用的安全性做出深入分析,并实施无害攻击,取得系统安全威胁的直接证据
◆配置审计:通过当前弱点,模拟黑客攻击,实现数据库的审计功能,获得后台数据库连接信息、数据库实例名、数据库版本、数据字典等配置信息
◆检测数据库类型:MSSQL/ACCESS/MYSQL/ORACLE/DB2/INFORMIX/SYBASE ?
◆完整风险评估报告:报告格式:提供详细的检测扫描报告,包括扫描的URL信息、漏洞类型、安全加固建议等,报表格式支持PDF、XML、HTML、MHT、DOC、XLS、RPF等。
◆报告模式:
◆程序员报表:用于显示与应用相关的问题,包括具体漏洞位置、加固建议等内容。
◆管理员报表:用于显示基础架构存在的问题,包括漏洞数量,漏洞种类等内容。
◆扫描模式:客户可以灵活选择扫描器以下工作模式:
◆工作方式:自动扫描、被动扫描(Proxy)
◆扫描方式:简单模式(单个域名)、批量模式(多个域名)
◆扫描范围:当前URL、当前子域名、整个域、任何URL
◆扫描深度:根据需要设置扫描层次
◆扫描线程:根据实际的网络连接情况和测试目标的承受能力进行设置
◆扫描例外:同时支持路径例外、文件例外两种设置
◆大小写区分:可在扫描过程中区分目录、文件等大小写设定
◆强制检测URL:可设定强制检测的URL地址
◆Flash支持:支持首页为FLASH跳转等页面爬行
3.3 深度扫描及渗透测试流程举例
#p#
4 产品特点
◆全面、深度、准确评估WEB应用弱点,有效提高主动防御能力
系统通过网站遍历,对目标网站进行完整扫描,可全面、深度、准确检测WEB应用安全弱点,如XSS跨站脚本,SQL注入,网站木马等主要安全威胁,为WEB应用提供全方位主动保护。
◆全面支持SSL的扫描工具
能够自动获取所有必须的要素,对基于SSL传输的内容进行分析,可对网银等基于HTTPS协议的WEB应用进行安全评估。
◆业界唯一集成“网页木马自动检测”的扫描软件
◆针对各类网页被篡改后植入恶意代码(木马)的自动检测分析,支持各类挂马方式检测如:Iframe、CSS、JS、SWF、ActiveX等等。
◆木马分析: 全自动、高性能、智能化, 对所有网页链接进行木马分析。
◆木马溯源:利用安恒独特的溯源技术,追查出网页木马传播的病毒、木马程序所在位置并且做出准确剖析。
◆独有的“取证”模式确保评估结果准确可信
明鉴WEB应用弱点扫描器与市场上可见的任何一款同类产品的不同之处在于:它不仅具有非凡的扫描功能,还提供了强大的渗透测试功能。扫描策略精确针对各个数据库系统特点,通过发现的弱点并进行渗透测试取得弱点存在的直接证据,从而确保最终报告风险漏洞存在的不可抵赖性。
◆完备丰富的风险评估报告
◆扫描结果通过完整的评估报告方式呈现给用户
◆评估报告提供相关弱点分析和分级并提出相应加固建议方案
◆支持“双模”扫描模式,工具灵活应用
◆全自动地进行主动模式扫描模式
◆被动扫描模式(Proxy),可以作为WEB应用开发黑盒测试工具
◆智能扫描引擎
支持无限代理服务器(包括HTTP和HTTPS),并且能够动态地进行选择,保证测试和扫描期间的稳定性。
5 结论
杭州安恒信息技术有限公司的核心团队拥有多年互联网应用安全防卫、网络安全审计、数据库安全审计的深厚技术背景,拥有全球领先的具有完全知识产权的安全技术;为明鉴WEB应用弱点扫描器(MatriXay2.0)的成功推出奠定了有力的基础。MatriXay2.0是一款深度针对WEB应用的远程安全评估系统,由资深安全专家经历数年的时间研发而成,它能够轻松应对各种复杂的WEB应用,全面深入发现WEB应用中存在的安全弱点,全自动/智能化检测网页中存在的木马。
MatriXay旨在降低WEB应用的风险,降低国家利益、社会利益、企业利益乃至个人利益受损风险,广泛适用于“政府、电信、金融、证券、公安、教育、税务、电力、电子商务”等等所有涉及WEB应用的各个领域。
MatriXay现有的客户涵盖公安、运营商、政府、地税、金融等各个行业,许多世界500强企业(如:Oracle、HP等)都使用MatriXay提升企业WEB应用的整体安全性。
