明鉴WEB应用弱点扫描器软件
明鉴®WEB应用弱点扫描器
——最佳WEB应用安全评估工具
产品概述
明鉴®WEB应用弱点扫描器(简称:MatriXay 5.0)是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成,该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月 发布,并在08奥运会WEB安全保障中发挥了重要的作用。2009年3.6版本 成功入选工信部安全中心Web应用安全检查工具。与市场上同类产品的不同之处在于:不仅具有精确的“取证式”扫描功能,还提供了强大的安全审计、渗透测试功能,误报率和漏报率等各项关键指标均达到国际领先水平,因此,被评价为“最佳的WEB安全评估工具”。
MatriXay 5.0(2011版) 旨在降低WEB应用的风险,使国家利益、社会利益、企业利益乃至个人利益的受损风险降低,广泛适用于“等级保护测评机构、公安、运营商、金融、电力能源、政府、教育”等各领域内的互联网应用、门户网站及内部核心业务系统(如网银、网上营业厅、OSS系统、ERP系统、OA系统等)。
作为公安部等级保护测评中心专用应用安全测评工具,工信部安全中心Web应用安全检查工具,教育部教育管理信息中心等级保护测评工具,MatriXay 5.0 (2011版) 全面支持OWASP TOP 10检测,可以帮助用户充分了解WEB应用存在的安全隐患,建立安全可靠的WEB应用服务,改善并提升应用系统抗各类WEB应用攻击的能力(如:注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等),协助用户满足等级保护、PCI、内控审计等规范要求。
主要功能
- 深度扫描:以web漏洞风险为导向, 通过对web应用(包括WEB2.0、JAVAScript、FLASH等)进行深度遍历,以安全风险管理为基础,支持各类web应用程序的扫描。
- WEB漏洞检测:提供有丰富的策略包,针对各种WEB应用系统以及各种典型的应用漏洞进行检测(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据等)。
- 网页木马检测:对各种挂马方式的网页木马进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。
- 配置审计:通过当前弱点获取数据库的相关敏感信息,对后台数据库进行配置审计,如弱口令、弱配置等。
- 渗透测试:通过当前弱点,模拟黑客使用的漏洞发现技术和攻击手段,对目标WEB应用的安全性做出深入分析,并实施无害攻击,取得系统安全威胁的直接证据。
图1 产品界面
- 全面、深度、准确评估WEB应用弱点,有助于提高主动防御能力
Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、 Ingres等
支持的弱点类型(包含OWASP TOP 10:A1-注入攻击、A2-跨站脚本(XSS)、A3-失效的认证和会话管理:、A4-不安全的直接对象引用、A5-跨站请求伪造、A6-安全配置错误、A7-限制URL访问失败、A8-尚未认证的重定向和转发、A9-不安全的密码储藏、A10-传输层保护不足)
- 灵活可定义的扫描工作模式
支持普通扫描模式、命令扫描模式
支持边爬行边检测、先爬行后检测、只爬行网站链接、只检测现有URL等多种扫描方式
扫描方式:简单模式(单个域名)、批量模式(多个域名)
扫描范围:当前URL、当前子域名、当前域名、任何URL
支持无人值守模式下的全自动扫描
工作方式:主动扫描、被动扫描(Proxy)
扫描深度:支持无限扫描深度
扫描过程可以随时中断/恢复,扫描结果实时存储
支持多任务、多线程、多引擎并行扫描
支持扫描例外设置
支持扫描项目文件加密管理
支持配置文件导入和导出
- 深度智能扫描引擎
全面支持SSL
自动过滤重复页面
自动检测所有参数
支持网页大小写敏感/不敏感
支持所需网页检测类型设置
支持验证码录制功能
- 独有的“取证”模式确保评估结果准确可信
- 直观丰富的统计报表
- 完善的结果趋势分析
- 完备丰富的风险评估报告,支持各类格式输出,并可自定义内容
- 提供横纵向的扫描结果对比
- 安装运行无需第三方软件支持
|
漏洞类型 |
攻击影响 |
|
SQL注入漏洞 |
数据库信息窃取、篡改、删除 |
|
Cookie注入 |
数据库信息窃取、篡改、删除,控制服务器 |
|
跨站脚本漏洞 |
用户证书、网站信息、用户信息被盗 |
|
缓冲区溢出 |
攻陷和控制服务器 |
|
表单绕过漏洞 |
攻击者访问禁止访问的目录 |
|
文件上传漏洞 |
主页篡改、数据损坏和传播木马 |
|
文件包含 |
服务器信息窃取、攻陷和控制服务器 |
|
网页木马 |
直接控制网站主机或者借此攻击访问者客户端 |
MatriXay 5.0(2011版)现有的客户涵盖等级保护测评机构、公安、运营商、金融、电力能源、政府、教育等各个领域,众多世界500强企业(如:中国移动、国家电网、中国电信、南方电网、中国联通、Oracle、HP等)都使用MatriXay 提升企业内部和外部应用的整体安全性。
图2 任务设置
图3 扫描结果图
客户清单
|
行业 |
典型客户 |
|
国家级/部级 |
2008北京奥组委、国家计算机网络与信息安全管理中心、中国国际电子商务中心、中国科学院计算机网络信息中心、国家广播电视安全播出调度中心、商务部、水利部、国家信息化评测中心(CECA)、全国组织机构代码管理中心、中国电子科技集团公司、国家信息中心、国家计算机网络应急响应中心(CNCERT)、中央编办事业发展中心、中国纤维局检测中心、教育部 |
|
金融 |
台州商业银行、温州银行、萧山农信社、定海农村合作银行、禾城农村合作银行、普陀农村合作银行、椒江农村合作银行、中信万通证券、宁波银行、上虞农村合作银行、衢江信用联社、江山合作银行、柯城农信联社、龙游农村信用联合社、新昌农村合作银行、诸暨农村合作银行、信达集团、浙商银行、浙江定海农村合作银行、中国证券登记结算有限责任公司北京数据技术分公司 |
|
运营商 |
中国电信系统集成有限责任公司、北京电信研究院、温州电信、上海电信、中国电信股份有限公司广东研究院、中国电信集团公司浙江网络资产分公司(PORTAL)、福建电信、四川电信、安徽电信、中国电信系统集成有限责任公司青海分公司、中国电信集团系统集成有限责任公司宁夏分公司、 中国移动通信有限公司、浙江移动、江苏移动、上海移动、甘肃移动、中国移动通信集团设计院有限公司、广东移动(PORTAL)、天津移动(PORTAL)、中国移动通信集团公司北京培训中心、云南移动、青海移动、福建移动、新疆移动(PORTAL)、中国移动通信集团湖南有限公司(PORTAL)、中国移动通信集团内蒙古有限公司(PORTAL)、中国移动通信集团内蒙古有限公司、重庆移动、甘肃移动(PORTAL)、新疆移动 浙江网通、宁波网通、联通系统集成有限公司山东省分公司 工业和信息化部电信研究院 |
|
电力能源 |
中国电力科学研究院、浙江省电力试验研究院、上海电力股份有限公司、山西电力、国网电力科学研究院、贵州电力、江西电力、广东电网公司电力科学研究院、国网新源控股有限公司、华润(集团)有限公司、无锡华润燃气有限公司、青岛市供电公司、四川电力、电力能源各网省公司、嘉兴电力、南瑞信息通信技术分公司、浙江省能源集团有限公司、河北省电力公司电力科学研究院 |
|
政府 |
北京市朝阳区信息化工作办公室、北京市朝阳区现代教育技术信息网络中心、浙江省地方税务局、浙江省国家税务局、浙江省环境保护厅、浙江省信息产业厅、湖南省工商行政管理局、浙江省国家安全厅、江西省南昌市信息中心、航空工业信息中心、成都市人大办公厅、潍坊市人民政府、宁波市国家安全局、湖州市信息中心、淮安市经信委、苏州市发展和改革委员会、广西壮族自治区工业和信息化委员会、浙江省统计局、浙江省质量技术监督信息中心、深圳市邮政局、石家庄市工信局、北京市科委、温州市质监局、徐州市政府信息中心、江西省工信委(PORTAL)、中国上海(PORTAL)、湖州市人民检察院、浙江省海事局、绍兴市统计局、全国政协办公厅信息中心、宁夏自治区经信委、上海世博D地块改造项目 |
|
公安 |
公安部第11局、公安部第一研究所、公安部第三研究所、北京市公安局、江西省公安厅 浙江省公安厅、山东省公安厅、天津市公安局、宁夏回族自治区公安厅、广州市公安局、三亚市公安局、山西运城公安局、山西太原市公安局、潍坊市公安局、宁阳县公安局、温州市公安局、温州乐清市公安局、衢州市公安局、杭州市公安局萧山区分局、义乌市公安局、金华市公安局、湖州市公安局、房山公安分局、延庆公安分局、丰台公安分局、门头沟公安分局、海淀公安分局、怀柔公安分局、东城公安分局、朝阳公安分局、西城公安分局、顺义公安分局、大兴公安分局、平谷公安分局、舟山市公安局、福建省公安厅、绍兴县公安局、无锡市公安局、山西省公安厅、陕西省公安厅、广东省公安厅、北京市公安局密云分局、北京市公安局东城分局、北京市公安局网安总队、北京市公安局石景山分局、山东省地市及区县公安局、北京市公安局通州分局、陕西省宝鸡市网监、崇左市公安局网络安全保卫支队、金华公安局江南分局、昆山市公安局、绍兴市公安局 |
|
安全 |
国家安全部16局、国家安全部9局、上海安全局 |
|
医疗 |
台州恩泽医疗中心、深圳市滨海医院 |
|
教育 |
浙江大学、上海交大、南京师范大学、浙江警官职业学院、浙江工商职业技术学院 温州大学瓯江学院、北方工业大学、贵州师范大学、华北电力大学、浙江工业大学、浙江传媒学院、北京邮电大学 |
|
税务 |
浙江省地税、温州市地方税务局、长兴县地方税务局 |
|
军工 |
北京机电工程研究所、北京机械设备研究所、军工保密资格审查认证中心、 |
|
工商 |
|
|
社保 |
|
|
烟草 |
中国烟草总公司浙江省 |
|
测评机构 |
国家计算机网络与信息安全管理中心广州分中心、国家计算机网络与信息安全管理中心重庆分中心、江苏省信息安全测评中心、厦门市信息技术服务中心、上海信息安全工程技术研究中心、上海市信息安全研究中心、江西省电子信息产品监督检验院、山东省电子产品监督检验所、重庆网安计算机技术服务中心、广西壮族自治区电子产品监督检验所、福建省网络与信息安全测评中心、河南省电子产品质量监督检验所、浙江省发展信息安全评估有限公司、杭州安信检测技术有限公司、浙江省电子信息产品检验所(PORTAL) 宁波鑫诺检测技术有限公司、杭州东安信息安全检测评估有限公司、宁波信息化服务中心、北京市电子产品质量检测中心、黑龙江省电子信息产品监督检验院、天津开发区先特网络系统有限公司、中国电信集团系统集成有限责任公司宁夏分公司、国家计算机网络信息安全管理中心浙江分中心、大连理工现代工程检测有限公司、浪潮创新科技有限公司等保测评部、河南省金盾信息安全等级技术测评中心有限公司、珠海南方软件网络评测中心、广州市信息安全测评中心、中国信息安全测评中心、国家保密科技测评中心、国家计算机网络与信息安全管理中心新疆分中心、辽宁桑地系统集成开发有限公司等保测评部、上海市信息安全测评认证中心 |
|
其他 |
盛大网络、上海东方网、上海浦东软件平台有限公司、中国航天科工集团公司 北京天融信科技有限公司、成都高新区技术创新服务中心、上海东方数据广播有限公司 杭州南邮多特信息技术有限公司、浙江广播电视集团、四川思维世纪、中国航空技术国际控股有限公司、中国国际航空公司、浙江天正信息科技有限公司、上海天华信息发展公司 新疆志冠信息技术有限公司、新疆普莱方德信息技术有限公司、天讯瑞达通信技术有限公司、北京网康科技有限公司、上海天华信息发展公司、辽宁巨全网络发展有限公司、浙江九峰软件有限公司 |
安装在WINDOWS系统的笔记本电脑、PC机或者服务器上。
1、用户在初次使用的时候需要进行授权。具体方式:安装后运行软件,将安装目录下面的license.req发到danny.dong@dbappsecurity.com.cn。之后,会收到一个license.rar,把其解压到安装目录即可使用软件。
2、统一的安装培训服务;上门服务按每人每天1000元计算。(不含食宿)
3、硬件key服务;(必须)如硬件key损坏,乙方将免费提供以旧换新服务。
4、长期免费提供电话、电子邮件、在线通信(QQ、MSN)和远程操作的技术支持。提供针对用户对网站和应用系统的扫描结果进行分析说明和提供解决方案。
。
5、在软件正常升级范围内的免费升级服务。
6、共建性捐助产品标价以每年12月31日前最新的产品标价为准
7、共建性捐助产品本公司一律一次性收取前3年的服务费,以第一年的标价为准,每年收取该产品标价的10%,前3年将提供全套的服务,之后根据需求方决定是否继续采用我们的服务。如不需要我方服务,将无法享受到以上的1~4条服务。此条款解释权属杭州安恒信息技术有限公司所有。
京公网安备 11010502046194号