Web应用安全评估工具之安恒信息明鉴

    摘要： 目前，这类工具多数都可以执行Web应用程序的自动扫描，它们可以实施一些威胁模式测试，从而揭示一些常见的漏洞
    关键词： WEB应用
    随着全球信息化的迅猛发展，互联网早已成为人们日常生活中不可或缺的“产品”。虽然获取信息、休闲娱乐仍然是网民上网的主要动机，但是为购物、炒股、商务活动等原因上网的网民越来越多。电子政务、B2B、B2C等电子商务活动也在不断发展。在网络为人们的工作和生活不断带来诸多益处的同时，也不断给网络用户带来新的烦恼。与世界其他国家和地区一样，中国的网络用户不断遭到网络黑客和病毒的入侵。计算机网络安全日益引起政府、企业、组织机构以及个人的关注。
    去年笔者所在的公司网络支付系统被黑客入侵而损失上百万的安全事件正与WEB应用程序密切相关，同时，也唤醒了领导对WEB应用程序安全的重视，觉得有必要在采取防范措施之前先对自己的系统进行一次严格的渗透测试已成必然。
    据有关数据统计显示，如今多数支持外部访问的应用程序都是基于Web的，而其中的多数又都包含着可被利用的漏洞。在此之前，笔者就有对上级领导请示过相关问题，而领导认为单位的网站有了网络硬件防火墙的保护就不需要其它保护措施了，已经是非常安全了。以致于酿成此次事件的发生。因为公司网络支付系统的攻击事情是依赖于WEB应用程序中的缺陷，这些缺陷通常都包含着易于被利用的漏洞。而网络防火墙必须对80端口开放，才能使网站正常运行，此时对于黑客攻击，网络硬件防火墙就毫无安全可言。
    在经历此次事件之后，笔者强烈建议，在将WEB应用程序推向实际使用之前，最好先借助WEB应用程序渗透工具测试一下。目前，这类工具多数都可以执行WEB应用程序的自动扫描，它们可以实施一些威胁模式测试，从而揭示一些常见的漏洞，例如许多程序可以揭示Sql注入式攻击漏洞、跨站脚本攻击等。有时，这些工具还可以提供一些参数供用户修正所发现的漏洞。而如今的安全测试市场并没有绝对的标准，所以有必要探讨一下我们单位所采购的评估工具。
    明鉴TMWEB应用弱点扫描器它是由安恒安全专家团队在深入分析研究WEB-数据库构架应用系统中典型安全漏洞以及流行的攻击技术基础上，研制开发的一款WEB应用安全评估工具，它采用攻击技术的原理和渗透性测试的方法，对WEB应用进行深度漏洞探测，可帮助应用开发者和管理者了解应用系统存在的脆弱性，为改善并提高应用系统安全性提供依据，帮助用户建立安全可靠的WEB应用服务。该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布，2.0版本于2007年12月 发布，并在08奥运WEB安全保障中发挥了重要的作用。与市场上同类产品的不同之处在于：不仅具有非凡的扫描功能，还提供了强大的渗透测试、网页木马检测功能。因此，被评价为“最佳的WEB安全评估工具”。
    MatriXay 3.0（2009版） 旨在降低WEB应用的风险，使国家利益、社会利益、企业利益乃至个人利益的受损风险降低，广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、等级保护测评机构、教育、电子商务及企业”等各领域的网站和内部B/S系统（如OSS系统、ERP系统、OA系统等）。
    作为公安部、浙江省信息安全等级保护专用应用安全测评工具，MatriXay 3.0可以帮助用户充分了解WEB应用存在的安全隐患，建立安全可靠的WEB应用服务，改善并提升应用系统抗各类WEB应用攻击的能力（如：注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等）。经过对比多家领先安全厂商的产品之后，最终决定选择杭州安恒信息技术有限公司所开发的MatriXay 3.0（2009版）。
    明鉴WEB应用弱点扫描器（MatriXay）主要功能包含：全局配置，系统管理，项目管理，项目扫描、弱点检测，渗透测试、配置审计和报表管理。
    扫描模式：可以灵活选择扫描器以下工作模式：
    工作方式：自动扫描、被动扫描（Proxy）
    扫描方式：简单模式（单个域名）、批量模式（多个域名）
    扫描范围：当前URL、当前子域名、整个域、任何URL
    扫描深度：根据需要设置扫描层次
    扫描线程：根据实际的网络连接情况和测试目标的承受能力进行设置
    扫描例外：同时支持路径例外、文件例外两种设置
    深度扫描及渗透测试流程举例
    产品特点
    全面、深度、准确评估WEB应用弱点，有效提高主动防御能力
    系统通过网站遍历，对目标网站进行完整扫描，可全面、深度、准确检测WEB应用安全弱点，如XSS跨站脚本，SQL注入，网站木马等主要安全威胁，为WEB应用提供全方位主动保护。
    全面支持SSL的扫描工具
    能够自动获取所有必须的要素，对基于SSL传输的内容进行分析，可对网银等基于HTTPS协议的WEB应用进行安全评估。
    业界唯一集成“网页木马自动检测”的扫描软件
    针对各类网页被篡改后植入恶意代码（木马）的自动检测分析，支持各类挂马方式检测如：Iframe、CSS、JS、SWF、ActiveX等等。
    木马分析： 全自动、高性能、智能化， 对所有网页链接进行木马分析。
    木马溯源：利用亚龙（安恒）独特的溯源技术，追查出网页木马传播的病毒、木马程序所在位置并且做出准确剖析。
    独有的“取证”模式确保评估结果准确可信
    对于使用者来说，简洁全中文界面并不复杂，非安全专业人士也易于上手，并且完备丰富的风险评估报告可生成管理员报表和程序员报表，将扫描结果通过完整的评估报告方式呈现给用户，提供相关弱点分析和分级并提出相应加固建议方案，报告格式多样化：EXCEL文件/PDF文件/HTML文件/CSV文件/文本文件/图像文件，更加易于阅读和分发。
    明鉴WEB应用弱点扫描器与市场上可见的任何一款同类产品的不同之处在于：它不仅具有非凡的扫描功能，还提供了强大的渗透测试功能。扫描策略精确针对各个数据库系统特点，通过发现的弱点并进行渗透测试取得弱点存在的直接证据，从而确保最终报告风险漏洞存在的不可抵赖性。
    通过使用明鉴WEB应用弱点扫描器，在将WEB应用程序重新扫描评估之后将扫描报告生成出由应用程序的开发人员解决漏洞问题，再次上线，至此一年多了WEB应用系统从未出再有过安全事件的发生。
    最后要提醒的是要真正认识到，安全并不是权宜之计，不是忙完了这阵子就算完。因为WEB应用程序是动态变化的，企业需要经常地、不断地测试和检查，以保障不会出现新的漏洞。现在笔者每隔一个星期就扫描一次（MatriXay 3.0具有定时扫描功能，大大减轻了我的工作时间和效率）遇问题，及时反馈处理。