明鉴5.0促使Web应用弱点扫描市场正走向成熟

原创
安全
说到扫描器,业内人士都很清楚,开源免费的扫描器有很多,以国外工具居多。但本文将要给大家介绍的是国内知名安全厂商安恒公司开发的,针对Web应用攻击的扫描产品——明鉴Web应用弱点扫描器。

【51CTO.com 独家特稿】关注信息安全的人都很清楚黑客入侵网络的过程,通常是先利用扫描工具搜集目标主机或网络的详细信息,进而发现目标系统的漏洞或脆弱点,然后根据脆弱点的位置、详细说明展开攻击。

所谓知己知彼百战不殆,如果企业先对自己的网络和网站进行弱点扫描,那么很有可能将黑客拒之门外。作为企业的安全管理人员有必要利用一些扫描工具,通过扫描得到的结果信息及时发现系统漏洞并采取相应的补救措施,从而免受入侵者攻击。因此,检测和消除系统中存在的弱点就成为企业安全管理人员所要关注的重要课题。

说到扫描器,业内人士都很清楚,开源免费的扫描器有很多,以国外工具居多。但本文将要给大家介绍的是国内知名安全厂商安恒公司开发的,针对Web应用攻击的扫描产品——明鉴Web应用弱点扫描器。

之所以要拿明鉴(MatriXay)这款产品说事,是因为明鉴在全球获得专利号为US60/835471的Web应用安全深度扫描专利。同时,明鉴也是公安部和浙江省信息安全等级保护专用应用安全测评工具。从这两点上说明,明鉴具有一定的代表性,一方面代表了世界上获得专利的领先技术,另一方面又获得了国家相关部门的认可。可以说,明鉴足以印证Web应用扫描市场的一些轨迹。

据记者了解,明鉴(MatriXay)是于2006年8月的世界安全大会BlackHat(黑帽大会)和Def-Con上首次发布,被评价为“最佳的WEB安全评估工具。事实上,明鉴(MatriXay)是由安恒安全专家团队在深入分析研究WEB-数据库构架应用系统中典型安全漏洞以及流行的攻击技术基础上,研制开发的一款WEB应用安全评估工具。2010年11月25日,安恒公司向业界公布了明鉴的最新版本,5.0版。在了解最新版本有哪些特性之前,有必要先了解一下弱点扫描的相关知识。

从扫描过程来看,网络安全扫描工具大体可分为网络扫描(PING),端口扫描,弱点扫描几种类型。其中,弱点扫描器是用来自动检查一个本地或者远程主机的安全漏洞的程序。与其他端口扫描器一样,他们查询端口并记录返回结果。网络弱点扫描系统根据所定义的漏洞列表对目标系统的弱点信息进行收集,比较和分析,一但发现目标主机漏洞便提交报告给用户,并说明如何利用该漏洞以及如何对该漏洞进行修补,一个好的弱点扫描器能成功获得关于目标系统安全脆弱点的详细信息和提供修补这些脆弱点应采取的措施,这些信息对企业安全管理人员维护网络的安全,起到至关重要的作用。

明鉴(MatriXay)5.0版一些值得关注的功能:
◆深度扫描:以web漏洞风险为导向, 通过对web应用(包括WEB2.0、JAVAScript、FLASH等)进行深度遍历,以安全风险管理为基础,支持各类web应用程序的扫描。
◆Web漏洞检测:提供有丰富的策略包,针对各种WEB应用系统以及各种典型的应用漏洞进行检测(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据等)。
◆网页木马检测:对各种挂马方式的网页木马进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。
◆配置审计:通过当前弱点获取数据库的相关敏感信息,对后台数据库进行配置审计,如弱口令、弱配置等。
◆渗透测试:通过当前弱点,模拟黑客使用的漏洞发现技术和攻击手段,对目标WEB应用的安全性做出深入分析,并实施无害攻击,取得系统安全威胁的直接证据。

一款好的Web应用弱点扫描器,与支持的Web应用类型有很大关系,支持的类型越多,扫描的精度和准确度就有保障,我们来看一看明鉴(MatriXay)5.0版的Web应用支持类型:
◆支持WEB 2.0,支持各类JavaScript脚本解析
◆支持FLASH解析
◆WAP类及WMLScript脚本类应用系统
◆支持基于HTTPS应用系统的检测
◆首家支持国内、国外知名Web应用程序漏洞扫描
◆支持所有类型的动态页面
◆支持HTTP 1.0和1.1标准的Web应用系统

其中,值得关注的是支持FLASH的解析,目前国外开源的扫描器还都不提供这种支持。此外,明鉴也支持各类认证方式,包括Basic、Digest、NTLM在内的认证方式;支持的数据库有
Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、Ingres等。

明鉴(MatriXay)5.0版的部署:

从图中,我们可以看出,明鉴弱点扫描器是部署在应用服务器上的,5.0新版与以往版本最大的不同,就是改变了算法,并提升了扫描性能,据安恒信息公司北方区技术总监李麒介绍,新版产品可以运行在任何一台PC上,哪怕是笔记本对性能也无任何影响。

误报率和漏报率:
众所周知,任何扫描产品都会存在误报和漏报,这也是应用层扫描存在的两个难题,并且在这方面也没有衡量标准,目前国际上对误报率可以接受的范围是15%-20%,明鉴5.0新版产品利用的是树形独立深度算法,将扫描到的结果送至沙盒中,把误报率降低到3%以下,这可以说是国际上的一种突破,也印证了为什么明鉴在国际上获得了Web应用安全深度扫描专利。此外,通过对知识库的积累,也有效地降低漏报率。

Web应用扫描市场正走向成熟
假设被攻击的网站,在危险发生之前,能够利用Web应用弱点扫描器进行渗透测试,找到问题所在,并及时修补,则很有可能将黑客拒之门外。这是企业安全管理人员所必须关注的问题。

事实上,市场上也充斥着各种各样的扫描器,有的是漏洞扫描,有的是端口扫描,但针对Web应用攻击的扫描器必须具备良好的性能,及时发现新型攻击手段,因为Web应用攻击是所有攻击中最不稳定,也是数量最庞大,手段最多的攻击方式。

毫不夸张的说,以往扫描器是黑客用来攻击的工具之一,现在安全意识提高的企业CIO和CTO们逐渐意识到这个领域的重要性,这也给整个信息安全产业链带来了良性的发展机遇,相信在未来2-3年内,针对Web应用攻击的弱点扫描器将会大放异彩。

附:OWASP十大常见Web应用攻击
国际Web开源非盈利性组织OWASP前不久公布了今年的十大Web应用威胁排行,OWASP Top 10 for 2010(2010年OWASP十大常见Web应用攻击):
1、 SQL注入(SQL injection):
2、 跨站脚本攻击:
3、 失效的认证和会话管理
4、 不安全的直接对象引用
5、 跨站伪造请求(CSRF)
6、 安全配置错误
7、 限制访问URL失效
8、 尚未验证的重定向和转发
9、 不安全的密码储存
10、 传输层保护不足

【51CTO.COM 独家特稿,转载请注明出处及作者!】

 

 

责任编辑:赵毅 来源: 51CTO.com
相关推荐

2011-02-17 18:51:10

2010-08-02 09:00:00

2010-06-03 14:58:07

2010-12-02 10:10:02

2020-05-27 10:22:43

物联网工业物联网技术

2013-07-29 17:28:22

移动应用市场乱象移动开发

2011-05-16 13:07:30

2013-10-30 12:31:38

2011-01-27 09:39:57

刀片服务器

2009-04-06 08:30:26

Windows mob微软移动OS

2013-06-20 17:18:10

2022-02-14 11:04:58

SigfoxLPWA技术物联网

2009-03-30 17:51:30

Vmwareesx虚拟化

2009-05-12 15:21:43

2014-10-24 10:40:14

ITSS

2012-03-23 11:04:56

安恒信息WEB应用

2010-07-28 19:24:10

2010-08-03 21:59:56

2011-02-15 11:46:41

2009-01-12 09:25:04

SaaS云计算SOA
点赞
收藏

51CTO技术栈公众号