Web弱点扫描器升级打造最佳Web安全评估

凭借在WEB应用安全及漏洞扫描技术上的不断摸索与创新, 安恒信息明鉴WEB弱点扫描器再次升级,新版本MatriXay 5.0于日前问世。

安恒信息本次发布的MatriXay 5.0贴合用户不断变化的需求,以精确的“取证式”扫描功能为最大特色,同时还提供了强大的安全审计、渗透测试功能,并且在误报率和漏报率等各项关键指标均达到国际领先水平。与历史版本相比,新版本在产品的功能及特点上都有了明显的提升改进,独有的“取证”模式确保评估结果准确可信、直观丰富的统计报表、完善的结果趋势分析、完备丰富的风险评估报告,支持各类格式输出,并可自定义内容等等。新版本秉承安恒信息明鉴WEB弱点扫描器各项优势,不仅性能稳定、操作简便,而且新增功能贴合用户的实际使用需求。经过用户的测试和实践运行,一致认为新版本在功能上更加人性化,考虑更为全面。

作为公安部等级保护测评中心专用应用安全测评工具,工信部安全中心Web应用安全检查工具,MatriXay 5.0 (2011版) 全面支持OWASP TOP 10检测,可以帮助用户充分了解WEB应用存在的安全隐患,建立安全可靠的WEB应用服务,改善并提升应用系统抗各类WEB应用攻击的能力,协助用户满足等级保护、PCI、内控审计等规范要求。

明鉴(MatriXay)5.0版主要功能介绍:

◆深度扫描:以web漏洞风险为导向, 通过对web应用(包括WEB2.0、JAVAScript、FLASH等)进行深度遍历,以安全风险管理为基础,支持各类web应用程序的扫描。

◆Web漏洞检测:提供有丰富的策略包,针对各种WEB应用系统以及各种典型的应用漏洞进行检测(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据等)。

◆网页木马检测:对各种挂马方式的网页木马进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。

◆配置审计:通过当前弱点获取数据库的相关敏感信息,对后台数据库进行配置审计,如弱口令、弱配置等。

◆渗透测试:通过当前弱点,模拟黑客使用的漏洞发现技术和攻击手段,对目标WEB应用的安全性做出深入分析,并实施无害攻击,取得系统安全威胁的直接证据。

一款好的Web应用弱点扫描器,与支持的Web应用类型有很大关系,支持的类型越多,扫描的精度和准确度就有保障,我们来看一看明鉴(MatriXay)5.0版的Web应用支持类型:

◆支持WEB 2.0,支持各类JavaScript脚本解析

◆支持FLASH解析

◆WAP类及WMLScript脚本类应用系统

◆支持基于HTTPS应用系统的检测

◆首家支持国内、国外知名Web应用程序漏洞扫描

◆支持所有类型的动态页面

◆支持HTTP 1.0和1.1标准的Web应用系统

其中,值得关注的是支持FLASH的解析,目前国外相关产品还都不提供这种支持。此外,明鉴也支持各类认证方式,包括Basic、Digest、NTLM在内的认证方式;支持的数据库有Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、Ingres等。