明鑒^?WEB應用弱點掃描器（簡稱：MatriXay 6.0）是安恒安全專家團隊在深入分析研究B/S架構應用系統中典型安全漏洞以及流行攻擊技術基礎上研制而成，該產品1.0版本于2006年8月世界安全大會BlackHat和Def-Con上首次發布,2.0版本于2007年12月發布,并在08奧運會WEB安全保障中發揮了重要的作用。2009年3.6版本成功入選工信部安全中心WEB應用安全檢查工具。2010年5.0版本為上海世博會、廣州亞運會2011年深圳大運會提供應用安全評估及服務，在中國移動集團采購測試中獲得第一名。2013年最新發布的6.0版本在公安部領導下的全國政府網站大檢查中更是發揮重要作用。與市場上同類產品的不同之處在于：不僅具有精確的“取證式”掃描功能，還提供了強大的安全審計、滲透測試功能，誤報率和漏報率等各項關鍵指標均達到國際領先水平，因此，被評價為“最佳的WEB安全評估工具”。

MatriXay 6.0旨在降低WEB應用的風險，使國家利益、社會利益、企業利益乃至個人利益的受損風險降低，廣泛適用于“等級保護測評機構、公安、運營商、金融、電力能源、政府、教育”等各領域內的互聯網應用、門戶網站及內部核心業務系統（如網銀、網上營業廳、OSS系統、ERP系統、OA系統等）。

作為公安部等級保護測評中心專用應用安全測評工具，工信部安全中心WEB應用安全檢查工具，MatriXay 6.0全面支持OWASP TOP 10檢測，可以幫助用戶充分了解WEB應用存在的安全隱患，建立安全可靠的WEB應用服務，改善并提升應用系統抗各類WEB應用攻擊的能力（如：注入攻擊、跨站腳本、文件包含、釣魚攻擊、信息泄漏、惡意編碼、表單繞過等），協助用戶滿足等級保護、PCI、內控審計等規范要求。

• 深度掃描：以WEB漏洞風險為導向，通過對WEB應用（包括WEB2.0、JAVAScript、FLASH等）進行深度遍歷，以安全風險管理為基礎，支持各類WEB應用程序的掃描。

• WEB漏洞檢測：提供有豐富的策略包，針對各種WEB應用系統以及各種典型的應用漏洞進行檢測（如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、代碼注入、表單繞過、弱口令、敏感文件和目錄、管理后臺、敏感數據、第三方軟件等）。

• 網頁木馬檢測：對各種掛馬方式的網頁木馬進行全自動、高性能、智能化分析，并對網頁木馬傳播的病毒類型做出準確剖析和網頁木馬宿主做出精確定位。

• 配置審計：通過當前弱點獲取數據庫的相關敏感信息，對后臺數據庫進行配置審計，如弱口令、弱配置等。

• 滲透測試：通過當前弱點，模擬黑客使用的漏洞發現技術和攻擊手段，對目標WEB應用的安全性做出深入分析，并實施無害攻擊，取得系統安全威脅的直接證據。

圖1 產品界面 

• 全面、深度、準確評估WEB應用弱點，有助于提高主動防御能力

支持的WEB應用類型

• 全面支持WEB 2.0，支持各類JavaScript腳本解析

• 全面支持FLASH解析

• 支持WAP類及WMLScript腳本類應用系統

• 支持基于HTTPS應用系統的檢測

• 首家支持國內、國外知名WEB應用程序漏洞掃描

• 支持所有類型的動態頁面

• 支持HTTP 1.0和1.1標準的Web應用系統

• 國內首創灰盒模式，彌補傳統的黑盒模式無法有效檢測存儲式跨站、頁面無變化的SQL注入(update,insert等)，使得結果更全面

支持各類認證方式

• 支持基于支持包括Basic、Digest、NTLM在內的認證方式

• 支持HTTP和SOCKS代理，并支持各種代理的認證方式

• 支持基于證書認證的系統掃描（如：網銀）

支持的數據庫類型

Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、 Ingres等

支持的弱點類型（包含OWASP TOP 10：A1-注入攻擊、A2-失效的身份認證和會話管理、A3-跨站腳本（XSS）、A4-不安全的直接對象引用、A5-安全配置錯誤、A6-敏感數據泄露、A7-功能級訪問控制缺失、A8-跨站請求偽造（CSRF）、A9-使用含有已知漏洞的組件、A10-未驗證的重定向和轉發)

• 靈活可定義的掃描工作模式

支持普通掃描模式、命令掃描模式

支持邊爬行邊檢測、先爬行后檢測、只爬行網站鏈接、只檢測現有URL等多種掃描方式

掃描方式：簡單模式（單個域名）、批量模式（多個域名）

掃描范圍：當前URL、當前子域名、當前域名、任何URL

支持無人值守模式下的全自動掃描

工作方式：主動掃描、被動掃描(Proxy)

掃描深度：支持無限掃描深度

掃描過程可以隨時中斷/恢復，掃描結果實時存儲

支持多任務、多線程、多引擎并行掃描

支持掃描例外設置

支持掃描項目文件加密管理

支持配置文件導入和導出

• 深度智能掃描引擎

全面支持SSL

自動過濾重復頁面

自動檢測所有參數

支持網頁大小寫敏感/不敏感

支持所需網頁檢測類型設置

支持驗證碼錄制功能

• 獨有的“取證”模式確保評估結果準確可信

• 直觀豐富的統計報表

• 完善的結果趨勢分析

• 完備豐富的風險評估報告，支持各類格式輸出，并可自定義內容

• 全新的報表中心，能提供行業，合規，統計，審計和趨勢報告

• 豐富的內置安全輔助工具和第三方工具和第三方插件設計

• 智能檢索，方便快速查找系統功能，漏洞知識庫和用戶手冊

• 安裝運行無需第三方軟件支持

常見WEB應用攻擊影響分析




漏洞類型	攻擊影響
SQL注入漏洞	數據庫信息竊取、篡改、刪除
Cookie注入	數據庫信息竊取、篡改、刪除，控制服務器
跨站腳本漏洞	用戶證書、網站信息、用戶信息被盜
緩沖區溢出	攻陷和控制服務器
表單繞過漏洞	攻擊者訪問禁止訪問的目錄
文件上傳漏洞	主頁篡改、數據損壞和傳播木馬
文件包含	服務器信息竊取、攻陷和控制服務器
網頁木馬	直接控制網站主機或者借此攻擊訪問者客戶端























































MatriXay 6.0現有的客戶涵蓋等級保護測評機構、公安、運營商、金融、電力能源、政府、教育等各個領域，眾多世界500強企業（如：中國移動、國家電網、中國電信、南方電網、中國聯通、Oracle、HP等）都使用MatriXay 提升企業內部和外部應用的整體安全性。



圖2 任務設置 



圖3 掃描結果圖

 

行業應用案例

運營商----某省移動

客戶面臨的安全問題

• 網絡技術日趨成熟，黑客們的注意力從以往對網絡服務器的攻擊逐步轉移到了對 Web 應用的攻擊;

• 所有的業務系統（如：營業系統、CBOSS系統、BBOSS系統等等）均采用B/S的架構，致使企業所面臨的風險在不斷增加;

• WEB應用系統是否存在程序漏洞，往往是被入侵后才能察覺，如何在攻擊發動之前主動發現Web應用程序漏洞?

 

安恒解決方案

主動防御---- 從技術和管理兩個層面為某省移動應用安全保駕護航

• 利用安恒WEB應用弱點掃描器建設WEB應用安全掃描平臺;

• 將WEB應用弱點掃描、風險評估納入日常工作流程;

• 定期檢查WEB應用本身的安全性及網頁上對外鏈接的可靠性;

• 定期培訓：黑客攻擊技術、安全防范技術、編碼規范等多方面的技能培訓.

































圖4 產品部署圖