明鉴^®WEB应用弱点扫描器（简称：MatriXay 6.0）是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成，该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月发布,并在08奥运会WEB安全保障中发挥了重要的作用。2009年3.6版本成功入选工信部安全中心WEB应用安全检查工具。2010年5.0版本为上海世博会、广州亚运会2011年深圳大运会提供应用安全评估及服务，在中国移动集团采购测试中获得第一名。2013年最新发布的6.0版本在公安部领导下的全国政府网站大检查中更是发挥重要作用。与市场上同类产品的不同之处在于：不仅具有精确的“取证式”扫描功能，还提供了强大的安全审计、渗透测试功能，误报率和漏报率等各项关键指标均达到国际领先水平，因此，被评价为“最佳的WEB安全评估工具”。

MatriXay 6.0旨在降低WEB应用的风险，使国家利益、社会利益、企业利益乃至个人利益的受损风险降低，广泛适用于“等级保护测评机构、公安、运营商、金融、电力能源、政府、教育”等各领域内的互联网应用、门户网站及内部核心业务系统（如网银、网上营业厅、OSS系统、ERP系统、OA系统等）。

作为公安部等级保护测评中心专用应用安全测评工具，工信部安全中心WEB应用安全检查工具，MatriXay 6.0全面支持OWASP TOP 10检测，可以帮助用户充分了解WEB应用存在的安全隐患，建立安全可靠的WEB应用服务，改善并提升应用系统抗各类WEB应用攻击的能力（如：注入攻击、跨站脚本、文件包含、钓鱼攻击、信息泄漏、恶意编码、表单绕过等），协助用户满足等级保护、PCI、内控审计等规范要求。

• 深度扫描：以WEB漏洞风险为导向，通过对WEB应用（包括WEB2.0、JAVAScript、FLASH等）进行深度遍历，以安全风险管理为基础，支持各类WEB应用程序的扫描。

• WEB漏洞检测：提供有丰富的策略包，针对各种WEB应用系统以及各种典型的应用漏洞进行检测（如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据、第三方软件等）。

• 网页木马检测：对各种挂马方式的网页木马进行全自动、高性能、智能化分析，并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。

• 配置审计：通过当前弱点获取数据库的相关敏感信息，对后台数据库进行配置审计，如弱口令、弱配置等。

• 渗透测试：通过当前弱点，模拟黑客使用的漏洞发现技术和攻击手段，对目标WEB应用的安全性做出深入分析，并实施无害攻击，取得系统安全威胁的直接证据。

图1 产品界面 

• 全面、深度、准确评估WEB应用弱点，有助于提高主动防御能力

支持的WEB应用类型

• 全面支持WEB 2.0，支持各类JavaScript脚本解析

• 全面支持FLASH解析

• 支持WAP类及WMLScript脚本类应用系统

• 支持基于HTTPS应用系统的检测

• 首家支持国内、国外知名WEB应用程序漏洞扫描

• 支持所有类型的动态页面

• 支持HTTP 1.0和1.1标准的Web应用系统

• 国内首创灰盒模式，弥补传统的黑盒模式无法有效检测存储式跨站、页面无变化的SQL注入(update,insert等)，使得结果更全面

支持各类认证方式

• 支持基于支持包括Basic、Digest、NTLM在内的认证方式

• 支持HTTP和SOCKS代理，并支持各种代理的认证方式

• 支持基于证书认证的系统扫描（如：网银）

支持的数据库类型

Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、 Ingres等

支持的弱点类型（包含OWASP TOP 10：A1-注入攻击、A2-失效的身份认证和会话管理、A3-跨站脚本（XSS）、A4-不安全的直接对象引用、A5-安全配置错误、A6-敏感数据泄露、A7-功能级访问控制缺失、A8-跨站请求伪造（CSRF）、A9-使用含有已知漏洞的组件、A10-未验证的重定向和转发)

• 灵活可定义的扫描工作模式

支持普通扫描模式、命令扫描模式

支持边爬行边检测、先爬行后检测、只爬行网站链接、只检测现有URL等多种扫描方式

扫描方式：简单模式（单个域名）、批量模式（多个域名）

扫描范围：当前URL、当前子域名、当前域名、任何URL

支持无人值守模式下的全自动扫描

工作方式：主动扫描、被动扫描(Proxy)

扫描深度：支持无限扫描深度

扫描过程可以随时中断/恢复，扫描结果实时存储

支持多任务、多线程、多引擎并行扫描

支持扫描例外设置

支持扫描项目文件加密管理

支持配置文件导入和导出

• 深度智能扫描引擎

全面支持SSL

自动过滤重复页面

自动检测所有参数

支持网页大小写敏感/不敏感

支持所需网页检测类型设置

支持验证码录制功能

• 独有的“取证”模式确保评估结果准确可信

• 直观丰富的统计报表

• 完善的结果趋势分析

• 完备丰富的风险评估报告，支持各类格式输出，并可自定义内容

• 全新的报表中心，能提供行业，合规，统计，审计和趋势报告

• 丰富的内置安全辅助工具和第三方工具和第三方插件设计

• 智能检索，方便快速查找系统功能，漏洞知识库和用户手册

• 安装运行无需第三方软件支持

常见WEB应用攻击影响分析




漏洞类型	攻击影响
SQL注入漏洞	数据库信息窃取、篡改、删除
Cookie注入	数据库信息窃取、篡改、删除，控制服务器
跨站脚本漏洞	用户证书、网站信息、用户信息被盗
缓冲区溢出	攻陷和控制服务器
表单绕过漏洞	攻击者访问禁止访问的目录
文件上传漏洞	主页篡改、数据损坏和传播木马
文件包含	服务器信息窃取、攻陷和控制服务器
网页木马	直接控制网站主机或者借此攻击访问者客户端























































MatriXay 6.0现有的客户涵盖等级保护测评机构、公安、运营商、金融、电力能源、政府、教育等各个领域，众多世界500强企业（如：中国移动、国家电网、中国电信、南方电网、中国联通、Oracle、HP等）都使用MatriXay 提升企业内部和外部应用的整体安全性。



图2 任务设置 



图3 扫描结果图

 

行业应用案例

运营商----某省移动

客户面临的安全问题

• 网络技术日趋成熟，黑客们的注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击;

• 所有的业务系统（如：营业系统、CBOSS系统、BBOSS系统等等）均采用B/S的架构，致使企业所面临的风险在不断增加;

• WEB应用系统是否存在程序漏洞，往往是被入侵后才能察觉，如何在攻击发动之前主动发现Web应用程序漏洞?

 

安恒解决方案

主动防御---- 从技术和管理两个层面为某省移动应用安全保驾护航

• 利用安恒WEB应用弱点扫描器建设WEB应用安全扫描平台;

• 将WEB应用弱点扫描、风险评估纳入日常工作流程;

• 定期检查WEB应用本身的安全性及网页上对外链接的可靠性;

• 定期培训：黑客攻击技术、安全防范技术、编码规范等多方面的技能培训.

































图4 产品部署图