服务热线: 0755-26821608
Products 产品详情
产品名称:

明鉴®Web应用弱点扫描器

上市日期: 2018-10-06
  • 产品概述
  • 产品规格
  • 详细参数

明鉴®Web应用弱点扫描器

明鉴Web应用弱点扫描器(MatriXay)是杭州安恒信息技术股份有限公司在深入分析研究B/S典型应用架构中常见安全漏洞以及流行的攻击技术基础上,研制开发的一款Web应用安全专用评估工具。 


1.产品概述
明鉴Web应用弱点扫描器(MatriXay)是杭州安恒信息技术股份有限公司在深入分析研究B/S典型应用架构中常见安全漏洞以及流行的攻击技术基础上,研制开发的一款Web应用安全专用评估工具。它采用漏洞产生的原理和渗透测试的方法,对Web应用进行深度弱点探测,可帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据,帮助用户建立安全可靠的Web应用服务,对Web应用攻击说“不!”

MatriXay是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成,该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,引起世界众多信息安全爱好者的关注;2007年12月安恒发布MatriXay2.0,在2008北京奥运会信息安全保障中发挥了积极的作用,获得奥组委的肯定;MatriXay3.6版本成功入选工信部安全中心Web应用安全检查工具,并于2009年国庆60周年政府网站安全大检查之际,为近7000家政府网站进行了深度安全评估;2010年发布的MatriXay5.0在上海世博会和广州亚运会深证大运会期间的应用安全保障做出了杰出的贡献,在中国移动集团采购测试中获得第一名的精彩成绩;2013年最新发布的6.0版本在公安部领导下的全国政府网站大检查中更是发挥重要作用。

MatriXay作为一款Web应用安全专用评估工具,不仅具有准确的“取证式”扫描功能,还提供了强大的安全审计、渗透测试功能,误报率和漏报率等各项关键指标均达到国际领先水平,得到了广泛的应用和肯定。

MatriXay旨在降低Web应用的风险,使国家利益、社会利益、企业利益乃至个人利益的受损风险降低,广泛适用于“等级保护测评机构、公安、运营商、金融、电力能源、政府、教育”等各领域内的互联网应用、门户网站及内部核心业务系统(如网银、网上营业厅、OSS系统、ERP系统、OA系统等)。

作为公安部等级保护测评中心专用应用安全测评工具,工信部安全中心Web应用安全检查工具,MatriXay6.0全面支持OWASP_TOP10_2013检测,可以帮助用户充分了解Web应用存在的安全隐患,建立安全可靠的Web应用服务,改善并提升应用系统抗各类Web应用攻击的能力(如:注入攻击、跨站脚本、文件包含、钓鱼攻击、信息泄漏、恶意编码、表单绕过等),协助用户满足等级保护、PCI、内控审计等规范要求。

2.主要功能
2.1  软件功能结构

明鉴Web应用弱点扫描器(MatriXay6.0)主要功能包含:项目管理、报表管理、项目扫描、弱点检测、工具、全局配置和系统管理。

产品的功能结构图如下:


明鉴®Web应用弱点扫描器

图2-1  软件功能结构


2.2 产品功能描述

深度漏洞扫描:

• 支持各类Web应用的深度漏洞扫描,根据风险评估和漏洞扫描的需要对目标应用进行深度遍历,获取应用列表;

• 并发扫描:扫描引擎与扫描界面分离,一个正在运行的主程序可以同时管理多个引擎,每个引擎可支持多个任务的真正并发扫描。

• 定制扫描:为扫描任务提供非常丰富的扫描选项,如爬行、检测、过滤、网络环境等,用户可根据目标扫描网站的特点以及所在的网络环境,对扫描过程进行定制,且可以导出成模板。


明鉴®Web应用弱点扫描器

图2-2 定制扫描设置


 • 录制功能:系统提供了设置扫描任务中Web页面登录方式。分别为录制、自动提交、直接输入Cookie。


明鉴®Web应用弱点扫描器

图2-3  登录设置


• 支持Web2.0:使用自主研发的网页执行模块,可以执行网页中的JavaScript脚本获取其中的链接,也可通过正则表达式匹配页面中的链接。
  

• 支持WAP网站扫描:WebScan6.0支持WAP协议以及WMLScript脚本的解析,用户只需要提供链接到WAP网站的网络环境,即可对WAP网站进行扫描。
  

• 支持HTTPS协议:能够自动获取所有必须的要素,对基于SSL传输的内容进行分析,可对网银、证券交易等基于HTTPS协议的Web应用进行自动安全评估。
  

• 支持多种网站认证方式:支持包括Basic、Digest、NTLM在内的认证方式,支持HTTP和SOCKS代理,并支持各种代理的认证方式。
  

• 支持Flash解析:对Flash对象进行完全快速解析,可以以非常快的速度提取Flash对象中的链接。

深度漏洞检测
   

• 安全漏洞检测:支持OWASP TOP 10等主流安全漏洞的自动检测(A1-注入攻击、A2-失效的身份认证和会话管理、A3-跨站脚本(XSS)、A4-不安全的直接对象引用、A5-安全配置错误、A6-敏感数据泄露、A7-功能级访问控制缺失、A8-跨站请求伪造(CSRF)、A9-使用含有已知漏洞的组件、A10-未验证的重定向和转发)。
  

• 网页木马检测:对各种挂马方式的网页木马如Iframe、CSS、JS、SWF、ActiveX等,进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。

模拟渗透测试
  

• 自动取证:通过所发现的应用漏洞,模拟黑客使用的漏洞攻击手段,对目标应用进行深入安全分析,利用沙盒技术实施无害攻击,包括后台数据库中的数据提取、执行控制台命令、获取注册表数据、获取目录树、数据库操作、备份数据库、远程文件下载、文件上传等,取得系统安全威胁的直接证据。
  

• 手工取证:支持对所有扫描结果中的存在的安全漏洞进行手工取证,诸如跨站攻击测试、表单绕过等无害攻击测试等。
  

• 配置审计:通过当前弱点获取数据库的相关敏感信息,对后台数据库进行配置审计,如弱口令、弱配置等。支持的数据库类型包括:Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、Ingres等。

检测结果输出
  

• 实时结果展现:在扫描过程中在任务栏上,实时显示详细的扫描和检测结果统计数据,并根据弱点危害程度、弱点类型展示相应的统计图表,令扫描结果更加直观。
  

• 风险评估报告:提供详细的检测扫描报告,包括扫描的URL信息、漏洞类型、安全加固建议等,对所有弱点的相关背景提供详细描述、引用,以及相应的修复和改进建议。 支持在同一次任务中,如涉及不同管理部门,则生成分部门报告、部门间横向比较的报告;如仅仅涉及不同系统,则生成分系统报告和汇总报告。
支持针对同一网站的多次扫描的报告合成汇总报告、并进行纵向比较。
  

• 报表支持格式:支持PDF、XML、DOC、HTML、XLS等格式的输出。

报告输出模式:
  

• 程序员报表:着重显示与应用程序相关的问题,包括具体漏洞位置(URL)、加固建议等内容。
  

• 管理员报表:着重显示应用的总体安全状况和趋势,包括漏洞数量,漏洞种类等内容。
自身安全控制
  

• 数据实时储存:扫描过程中实时存储扫描数据和结果,不管是由于程序自身引擎中断、进程人为关闭,还是机器断电引起扫描中断,扫描数据都不会丢失,可以进行断点续扫。
  

• 用户管理功能:提供管理员、操作员、审计员三种不同的角色,分配给不同使用需要的用户,合理管理系统的使用权限,防止系统的滥用和误用:
  

• 管理员:拥有系统的所有权限,可以管理用户、配置系统选项。
  

• 操作员:拥有除管理用户、配置系统选项外所有管理员账户的所有权限。
  

• 审计员:只具有查看系统所有用户日志的权限。
  

• 屏幕锁定功能:在扫描过程中,可以在不停止扫描的情况下将锁定屏幕。用户可自行设置系统超时时间,当达到预设时间会自动锁屏,用户离开扫描器运行的机器而无需担心信息泄露以及扫描器被非法使用的问题。
  

• 在线更新功能:可以手动或自动进行在线更新功能,在线更新方式和频率可配置。

2.3  渗透测试流程

渗透测试流程 MatriXay6.0在完成目标应用系统的基础弱点检查之后,可以对其进行自动模拟渗透。以SQL注入为例,MatriXay6.0能够通过所发现的SQL注入点,提取Web应用系统相关数据库的表信息、表结构、字段信息、具体内容等,之后可以进一步对相关表的字段、具体内容等实行操作,包括修改、删除、添加等等。


明鉴®Web应用弱点扫描器

图2-4图  SQL注入渗透测试流程

3.产品特点
3.1  智能、快速的深度漏洞扫描

  

• 采用强大的过滤模块,过滤掉重复或者不必要的网页链接,提高运行效率。 单引擎单位时间的发包速率的可控化,可以有效防止扫描数据量过大影响网站正常运行的问题。

  

• 扫描数据实时存储,扫描过程中实时存储扫描数据和结果,不管是由于程序自身引擎中断、进程人为关闭,还是机器断电引起扫描中断,扫描数据都不会丢失,可以进行断点续扫。

  

• 扫描引擎与扫描界面分离,一个正在运行的主程序可以同时管理多个引擎。每个引擎可支持多个任务的真正并发扫描,有效提高系统深度扫描速率。


3.2  全面、准确的应用弱点检测

支持OWASP TOP 10等主流安全漏洞(A1-注入攻击、A2-失效的身份认证和会话管理、A3-跨站脚本(XSS)、A4-不安全的直接对象引用、A5-安全配置错误、A6-敏感数据泄露、A7-功能级访问控制缺失、A8-跨站请求伪造(CSRF)、A9-使用含有已知漏洞的组件、A10-未验证的重定向和转发):
SQL注入
XSS跨站脚本
伪造跨站点请求(CSRF)
网页木马
暗链
隐藏字段
表单绕过
命令注入
弱配置
敏感信息泄漏
代码注入
弱口令
任意文件下载
脚本木马
框架注入
链接注入
操作系统命令注入
远程命令执行
Cookie注入
Base64注入
敏感文件
第三方软件
CMS指纹识别
中间件漏洞
其他各类CGI漏洞  

支持国际目前主流Web应用类型:
支持国内、国外知名Web应用程序漏洞扫描。
全面支持Web 2.0,支持各类JavaScript脚本解析。
全面支持FLASH解析。
支持WAP类及WMLScript脚本类应用系统。
支持基于HTTPS应用系统的检测,能够自动获取所有必须的要素,对基于SSL传输的内容进行分析,可对网银、证券交易等基于HTTPS协议的Web应用进行自动安全评估。
支持所有类型的动态页面。
支持HTTP 1.0和1.1标准的Web应用系统 。


支持几乎所有主流数据库的配置审计:
Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、Ingres等。


支持基于各类身份认证方式的WEB应用的安全检测:
支持基于支持包括Basic、Digest、NTLM在内的身份认证方式。
支持HTTP和SOCKS代理,并支持各种代理的身份认证方式。
基于证书认证的系统扫描(如:网银)


3.3  业界先进集成“网页木马自动检测”的检测系统


• 针对各类网页被篡改后植入恶意代码(木马)的自动检测分析,支持各类挂马方式检测如:Iframe、CSS、JS、SWF、ActiveX等等。

  

• 木马分析: 全自动、高性能、智能化, 对所有网页链接进行木马分析。

  

• 木马溯源:利用H3C独特的溯源技术,追查出网页木马传播的病毒、木马程序所在位置并且做出准确剖析。


3.4  独有的“取证”模式确保评估结果准确可信

• 该产品与市场上可见的任何一款同类产品的不同之处在于:它不仅具有非凡的扫描功能,还提供了强大的自动渗透测试功能,通过所发现的应用漏洞,自动模拟黑客使用的漏洞攻击手段,对目标应用进行深入安全分析,利用沙盒技术实施无害攻击,取得系统安全威胁的直接证据。

  

• 同时支持对所有扫描结果中的存在的安全漏洞进行手工取证,诸如跨站攻击测试、表单绕过等无害攻击测试等。


3.5  灵活、丰富可自定义的漏洞扫描模式

为扫描任务提供非常丰富的扫描选项,如爬行、检测、过滤、网络环境等,用户可根据目标扫描网站的特点以及所在的网络环境,对扫描过程进行定制:

  

• 扫描方法:提供主动扫描和被动扫描两种扫描方法,其中被动扫描模式可以作为Web应用开发黑盒测试工具。

  

• 扫描模式:提供漏洞发现优先、扫描速度优先、深度优先、广度优先等扫描模式。

  

• 扫描模式:提供简单扫描(单个域名)和批量扫描(多个域名)。

  

• 扫描范围:提供当前域、整个域、当前页、子路径、全部页五种扫描范围的选择。

  

• 扫描深度:根据需要可设置扫描的深度,支持无限扫描深度。

  

• 扫描线程:根据实际的网络连接情况和测试目标的承受能力可设置扫描线程。

  

• 扫描例外:支持路径例外、文件例外两种设置。

  

• 语法区分:可在扫描过程中设定是否区分目录、文件等名称的大小写语法。

  

• 强制检测:支持对单独的可能存在问题的URL进行强制检测和渗透测试。


3.6  直观、丰富的安全评估结果展现

直观的实时扫描结果展示:在扫描过程中在任务栏上,实时显示详细的扫描和检测结果统计数据,并根据弱点危害程度、弱点类型展示相应的统计图表。

完备丰富的风险评估报告:

  

• 风险评估报告可定制化,在输出报表前可以对报表的各部分数据进行选择,并可以定制报表的页眉、页脚、标题等内容。

  

• 提供详细的检测扫描报告,包括网站的安全风险趋势、存在漏洞的URL信息、漏洞类型、安全加固建议等。

  

• 提供行业合规报表,用户可以选择owsap top10报表或者是等级保护报表。

  

• 提供趋势分析报表,用户可以通过横向和纵向两种比较方式进行比较,对目标系统安全状况及时掌握。

  

• 对所有弱点的相关背景提供详细描述、引用,以及相应的修复和改进建议。


3.7  充分的扫描性能和完善的自身安全考虑

  

• 稳健性:主要的扫描功能由引擎完成,如果引擎出现稳定性问题,主程序可自动重启该引擎并自动继续扫描。

  

• 完整性:扫描过程中实时存储扫描数据和结果,不管是由于程序自身引擎中断、进程人为关闭,还是机器断电引起扫描中断,扫描数据都不会丢失,可以进行断点续扫。

  

• 安全性:通过系统用户管理和屏幕锁定功能实现对系统自身安全和扫描数据的管理,防止系统的滥用、误用,防止扫描数据泄露。

 

• 独立性:安装运行无需任何第三方软件支持。

  

• 实时性:支持自动在线更新,获取近期的Web应用安全检测策略。 


Hot Products / 相关产品 More
2019 - 01 - 03
人脸指纹识别单元门口机产品概述DS-KD9502-AF(P)为7寸全数字人脸识别门口机,采用电容式触摸按键及钢化玻璃面板防护设计,使用130W高清网络摄像头,采用海康深度学习算法,实现人脸识别功能,小区住户人员可通过人脸比对开门进出,有效提高用户体验。 产品特性金属边框及钢化玻璃面板,电容触摸按键设计信息发布功能,7寸高清显示屏,分辨率1024*600,可显示物业发布的文字、图片、视频信息监控功能,采用130W高清监控级摄像头,具有120度超广角镜头,高清720P画质,可作为安防监控点7*24全天候预览、录像人脸识别开门功能,采用海康最新的深度学习算法,可实现住户通过人脸精准快速识别开门进出指纹识别开门功能,内置指纹模块,可实现指纹识别开门蓝牙开门功能,内置蓝牙模块,配合手机APP(IVMS-4530)可实现手机摇一摇开门二维码功能,门口机可通过摄像机识别二维码识别,匹配后开锁对...
2019 - 01 - 03
星光级全景网络高清智能球机系统概述DS-2DP1636-D星光级全景网络高清智能球机,可提供三维立体高清实时画面,并支持3D操作。用户可通过鼠标操作快速选择任意监控角度,并且可以控制监控角度的旋转、放大和缩小,以实现无死角监控。全景摄像机8个1/1.8" 2MP Progressive Scan CMOS,最高分辨率及帧率可达2 X 2400 ×3840@30fps视场角:水平360°,垂直180°星光级超低照度,0.004Lux/F1.8(彩色),0.0004Lux/F1.8(黑白)系统参数支持通过鼠标操作快速选择任意监控角度,并且可以控制监控角度的旋转、放大和缩小,以实现无死角监控支持浏览器快捷操作支强光抑制、3D数字降噪、背光补偿等功能支持软件集成的开放式API,支持海康SDK和第三方管理平台接入支持128G的Micro SD/SDHC/SDX...
2019 - 01 - 03
智能液压升降柱产品概述    DS-TMB101-X系列采用液压动力源和液压动作杆集成,双向一体液压机芯。控制方式灵活机动,适用于高频度、高安全车辆进出场所。可广泛应用于小区、公园、风景区、学校、停车场、机关单位、监狱、机场、码头、交通管理、使馆、石油化工、军队、航空航天、核电站等场所的车辆通道控制。功能特性采用液压驱动方式,易于维护,可靠性高,使用寿命长采取综合控制,系统运行性能稳定可靠,方便集成到用户系统中具有开闸、关闸以及停闸的功能应急释放,防止断电情况下柱体不能下降订货型号DS-TMB101-HDS-TMB101-M
2019 - 01 - 03
壁挂式人证比对终端产品简介DS-K5606系列人证比对终端是一款高性能、高可靠性的人脸识别类产品,依托深度学习算法,识别速度快、准确率更高,支持人脸识别(1:N)、人证比对(抓拍人脸照片与身份证芯片内人脸小图1:1比对)、IC卡多种验证方式,主要应用于平安社区、企事业单位、政府大楼、金融网点、监狱等室内场所。 功能特性全新壁挂式工业设计,线条流畅,性能稳定,支持触屏操作;采用5英寸LCD触摸显示屏,显示软件界面及操作提示,显示人脸框,实时检测最大人脸(支持本地视频预览);采用200万高清广角宽动态摄像头,支持照片视频防假;采用深度学习算法,支持3000张人脸白名单,识别速度快,准确率高;设备支持人脸、刷卡、指纹或相互组合的识别方式,1:1人证比对时间≤2S/人,1:N人脸比对时间≤1S/人;设备支持通过TCP/IP网络平台下发或USB导入卡、人脸数据,支持在断网模式下,单机运行功...


TOP
办公地址:深圳市南山区工业大道西工业八路南路悠然居二楼B区-73号室
联系电话:  13728636902  0755-26821608
投诉:0755-26821608
邮编:330520
版权所有 © 2018-2019 深圳市一路信息技术服务有限公司
犀牛云提供企业云服务
分享到:
服务热线 0755-26821608
友情链接: / Link
X
1

QQ设置

3

SKYPE 设置

4

阿里旺旺设置

5

电话号码管理

  • 4006-971-972
6

二维码管理

展开