第六代明鉴WEB应用弱点扫描器全面突破

近日，杭州安恒信息技术有限公司研发的新一代明鉴WEB应用弱点扫描器（简称：MatriXay WEBScan 6.0）正式发布。该产品不仅全面支持OWASP TOP 10检测，还新增多个智能扫描检测功能，可以帮助用户充分了解WEB应用存在的安全隐患，建立安全可靠的WEB应用服务，改善并提升应用系统抗各类WEB应用攻击的能力（如：注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过等），协助用户满足等级保护、PCI、内控审计等规范要求。

如今，许多行业用户将大量有价值的客户数据存储于在线数据库，通过网络应用与外界交互。不论是电子政务、通信、金融、电子商务抑或是小小的个人博客，基于WEB和数据库的应用系统已经逐渐成为主流。在我们享受这些信息系统带来便利的同时，也必须正视其带来的安全和威胁。根据Gartner的报告，目前网络中常见的攻击已经由传统的系统漏洞攻击逐渐发展演变为对应用自身弱点的攻击，其中最常见的攻击技术就是针对WEB应用的SQL注入和钓鱼攻击。而近期发布的《2013年网站安全评估报告》显示，国内网站安全性令人担忧:65.5%的网站存在安全漏洞,其中,29.2%的网站存在高危安全漏洞;8.7%的网站遭到篡改,33.7%的网站被植入了后门。平均每天有 3500 多家网站遭到 35 万次的各类漏洞攻击;每天有超过 600 余家网站遭到 1180 多万次的流量攻击。政府网站是漏洞攻击的首要目标,而企业网站则是流量攻击的首要目标。跨站脚本漏洞和 SQL 注入漏洞这两类高危安全漏洞仍然是占比最高的网站安全漏洞, 二者之和超过网站所有漏洞检出总次数的一半。

如此严峻的安全状况，给WEB应用系统的稳定运行带来了前所未有的压力，WEB应用系统的安全已经成为了目前迫切需要解决的问题。为了让用户及早发现与解决这一问题，安恒信息以全球领先具有完全自主知识产权的专利技术，结合自身强大的研发能力与多年应用安全的深厚技术背景以及最佳安全攻防实践经验，研发出新一代明鉴WEB应用弱点扫描器。新版本采用全新扫描引擎和界面引擎，将带来从容流畅的使用体验。

MatriXay WEBscan 6 较 5 新增或改进功能：

1.功能变化

·新增灰盒检查模式弥补传统的黑盒模式无法有效检测存储式跨站、页面无变化的SQL注入（ update, insert 等）；

·增强型的回放攻击和逻辑漏洞验证功能；

·新增智能检索，方便快速查找系统功能，漏洞知识库和用户手册；

·增强等保，OWSAP等行业合规性扫描能力；

·报表中心全新设计，内容更清晰，支持常规安全报告，行业合规报表，统计审计报表，趋势分析报表以及数据导出；

·新增网站详情，罗列网站目录，资源文件，URL请求状态等网站全面统计分析；

·增加插件模块，支持第三方工具和插件集成功能；

2.性能优化

·采用全新架构的扫描引擎，根据机器配置智能使用资源，引擎更稳定，扫描能力更佳；

·增加扫描速度优先和发现漏洞优先两种扫描模式，方便不同需求和应用场景；

·更加智能的任务调度系统，支持多个网站间的并行、串行扫描，支持网站优先级的设置

·更加强大的网络爬虫，具有更好的网站兼容性

·增加对国内主流CMS的识别，以及相应的漏洞探测功能

·提供更加详尽的网站数据，以供扫描后分析

3.细节改进：

·快速扫描，一键触发；向导扫描，交互更友好，输入更流畅，使用更轻松；

·系统可配置内容更多，更灵活，更统一；

·改进了截图工具的功能；

·增加了系统任何地方，可以所见即所得的导出图标或者数据的功能；

4.MatriXay WEBscan 6特点：

·全新扫描引擎，全面、深度、准确评估WEB应用弱点；

·全新界面引擎，易用，友好，带来从容流畅的使用体验；

·全新的报表中心，能提供行业，合规，统计，审计和趋势报告；

·丰富的内置安全辅助工具和第三方工具和第三方插件设计；

关于明鉴WEB应用弱点扫描器：

明鉴WEB应用弱点扫描器（简称：MatriXay 6.0）是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成，该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月发布,并在08奥运会WEB安全保障中发挥了重要的作用。2009年3.6版本成功入选工信部安全中心WEB应用安全检查工具，2010年5.0版本为上海世博会、广州亚运会2011年深圳大运会提供应用安全评估及服务，在中国移动集团采购测试中获得第一名。与市场上同类产品的不同之处在于：不仅具有精确的"取证式"扫描功能，还提供了强大的安全审计、渗透测试功能，误报率和漏报率等各项关键指标均达到国际领先水平，因此，被评价为"最佳的WEB安全评估工具"。