|
【51CTO.com 綜合消息】隨著全球信息化的迅猛發(fā)展����,互聯(lián)網(wǎng)早已成為人們?nèi)粘I钪胁豢苫蛉钡?ldquo;產(chǎn)品”�。雖然獲取信息、休閑娛樂仍然是網(wǎng)民上網(wǎng)的主要?jiǎng)訖C(jī)��,但是為購物�、炒股�����、商務(wù)活動(dòng)等原因上網(wǎng)的網(wǎng)民越來越多��。電子政務(wù)���、B2B��、B2C等電子商務(wù)活動(dòng)也在不斷發(fā)展����。在網(wǎng)絡(luò)為人們的工作和生活不斷帶來諸多益處的同時(shí)���,也不斷給網(wǎng)絡(luò)用戶帶來新的煩惱�����。與世界其他國(guó)家和地區(qū)一樣���,中國(guó)的網(wǎng)絡(luò)用戶不斷遭到網(wǎng)絡(luò)黑客和病毒的入侵��。計(jì)算機(jī)網(wǎng)絡(luò)安全日益引起政府���、企業(yè)、組織機(jī)構(gòu)以及個(gè)人的關(guān)注����。
去年筆者所在的公司網(wǎng)絡(luò)支付系統(tǒng)被黑客入侵而損失上百萬的安全事件正與Web應(yīng)用程序密切相關(guān),同時(shí)�����,也喚醒了領(lǐng)導(dǎo)對(duì)WEB應(yīng)用程序安全的重視���,覺得有必要在采取防范措施之前先對(duì)自己的系統(tǒng)進(jìn)行一次嚴(yán)格的滲透測(cè)試已成必然���。
據(jù)有關(guān)數(shù)據(jù)統(tǒng)計(jì)顯示�,如今多數(shù)支持外部訪問的應(yīng)用程序都是基于Web的���,而其中的多數(shù)又都包含著可被利用的漏洞����。在此之前����,筆者就有對(duì)上級(jí)領(lǐng)導(dǎo)請(qǐng)示過相關(guān)問題,而領(lǐng)導(dǎo)認(rèn)為單位的網(wǎng)站有了網(wǎng)絡(luò)硬件防火墻的保護(hù)就不需要其它保護(hù)措施了�,已經(jīng)是非常安全了。以致于釀成此次事件的發(fā)生����。因?yàn)楣揪W(wǎng)絡(luò)支付系統(tǒng)的攻擊事情是依賴于Web應(yīng)用程序中的缺陷�����,這些缺陷通常都包含著易于被利用的漏洞����。而網(wǎng)絡(luò)防火墻必須對(duì)80端口開放,才能使網(wǎng)站正常運(yùn)行���,此時(shí)對(duì)于黑客攻擊�,網(wǎng)絡(luò)硬件防火墻就毫無安全可言。
在經(jīng)歷此次事件之后����,筆者強(qiáng)烈建議,在將Web應(yīng)用程序推向?qū)嶋H使用之前����,最好先借助Web應(yīng)用程序滲透工具測(cè)試一下。目前�����,這類工具多數(shù)都可以執(zhí)行Web應(yīng)用程序的自動(dòng)掃描�����,它們可以實(shí)施一些威脅模式測(cè)試��,從而揭示一些常見的漏洞���,例如許多程序可以揭示Sql注入式攻擊漏洞�����、跨站腳本攻擊等��。有時(shí)�,這些工具還可以提供一些參數(shù)供用戶修正所發(fā)現(xiàn)的漏洞。而如今的安全測(cè)試市場(chǎng)并沒有絕對(duì)的標(biāo)準(zhǔn)���,所以有必要探討一下我們單位所采購的評(píng)估工具���。
明鑒TMWEB應(yīng)用弱點(diǎn)掃描器它是由安恒安全專家團(tuán)隊(duì)在深入分析研究WEB-數(shù)據(jù)庫構(gòu)架應(yīng)用系統(tǒng)中典型安全漏洞以及流行的攻擊技術(shù)基礎(chǔ)上,研制開發(fā)的一款WEB應(yīng)用安全評(píng)估工具����,它采用攻擊技術(shù)的原理和滲透性測(cè)試的方法,對(duì)WEB應(yīng)用進(jìn)行深度漏洞探測(cè)��,可幫助應(yīng)用開發(fā)者和管理者了解應(yīng)用系統(tǒng)存在的脆弱性�,為改善并提高應(yīng)用系統(tǒng)安全性提供依據(jù)�����,幫助用戶建立安全可靠的WEB應(yīng)用服務(wù)�����。該產(chǎn)品1.0版本于2006年8月世界安全大會(huì)BlackHat和Def-Con上首次發(fā)布,2.0版本于2007年12月 發(fā)布,并在08奧運(yùn)WEB安全保障中發(fā)揮了重要的作用。與市場(chǎng)上同類產(chǎn)品的不同之處在于:不僅具有非凡的掃描功能�����,還提供了強(qiáng)大的滲透測(cè)試�、網(wǎng)頁木馬檢測(cè)功能。因此�����,被評(píng)價(jià)為“最佳的WEB安全評(píng)估工具”���。
MatriXay 3.0(2009版) 旨在降低WEB應(yīng)用的風(fēng)險(xiǎn)�,使國(guó)家利益��、社會(huì)利益�、企業(yè)利益乃至個(gè)人利益的受損風(fēng)險(xiǎn)降低,廣泛適用于“政府���、金融��、運(yùn)營(yíng)商����、公安、能源����、稅務(wù)、工商���、社保���、交通、等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)�����、教育���、電子商務(wù)及企業(yè)”等各領(lǐng)域的網(wǎng)站和內(nèi)部B/S系統(tǒng)(如OSS系統(tǒng)�����、ERP系統(tǒng)、OA系統(tǒng)等)����。
作為公安部�����、浙江省信息安全等級(jí)保護(hù)專用應(yīng)用安全測(cè)評(píng)工具�����,MatriXay 3.0可以幫助用戶充分了解WEB應(yīng)用存在的安全隱患���,建立安全可靠的WEB應(yīng)用服務(wù),改善并提升應(yīng)用系統(tǒng)抗各類WEB應(yīng)用攻擊的能力(如:注入攻擊�����、跨站腳本���、釣魚攻擊�����、信息泄漏�、惡意編碼����、表單繞過���、緩沖區(qū)溢出等)。經(jīng)過對(duì)比多家領(lǐng)先安全廠商的產(chǎn)品之后,最終決定選擇杭州安恒信息技術(shù)有限公司所開發(fā)的MatriXay 3.0(2009版)�����。
明鑒WEB應(yīng)用弱點(diǎn)掃描器(MatriXay)主要功能包含:全局配置��,系統(tǒng)管理�,項(xiàng)目管理,項(xiàng)目掃描�、弱點(diǎn)檢測(cè),滲透測(cè)試���、配置審計(jì)和報(bào)表管理��。
產(chǎn)品的功能結(jié)構(gòu)圖如下:
掃描模式:可以靈活選擇掃描器以下工作模式:
工作方式:自動(dòng)掃描�����、被動(dòng)掃描(Proxy)
掃描方式:簡(jiǎn)單模式(單個(gè)域名)���、批量模式(多個(gè)域名)
掃描范圍:當(dāng)前URL��、當(dāng)前子域名、整個(gè)域���、任何URL
掃描深度:根據(jù)需要設(shè)置掃描層次
掃描線程:根據(jù)實(shí)際的網(wǎng)絡(luò)連接情況和測(cè)試目標(biāo)的承受能力進(jìn)行設(shè)置
掃描例外:同時(shí)支持路徑例外����、文件例外兩種設(shè)置
深度掃描及滲透測(cè)試流程舉例
滲透測(cè)試操作界面示意如下圖:
產(chǎn)品特點(diǎn)
全面�����、深度��、準(zhǔn)確評(píng)估WEB應(yīng)用弱點(diǎn)�����,有效提高主動(dòng)防御能力
系統(tǒng)通過網(wǎng)站遍歷�,對(duì)目標(biāo)網(wǎng)站進(jìn)行完整掃描,可全面����、深度、準(zhǔn)確檢測(cè)WEB應(yīng)用安全弱點(diǎn)�����,如XSS跨站腳本,SQL注入,網(wǎng)站木馬等主要安全威脅����,為WEB應(yīng)用提供全方位主動(dòng)保護(hù)。
全面支持SSL的掃描工具
能夠自動(dòng)獲取所有必須的要素���,對(duì)基于SSL傳輸?shù)膬?nèi)容進(jìn)行分析��,可對(duì)網(wǎng)銀等基于HTTPS協(xié)議的WEB應(yīng)用進(jìn)行安全評(píng)估�����。
業(yè)界唯一集成“網(wǎng)頁木馬自動(dòng)檢測(cè)”的掃描軟件
針對(duì)各類網(wǎng)頁被篡改后植入惡意代碼(木馬)的自動(dòng)檢測(cè)分析���,支持各類掛馬方式檢測(cè)如:Iframe、CSS��、JS����、SWF、ActiveX等等����。
木馬分析: 全自動(dòng)���、高性能、智能化, 對(duì)所有網(wǎng)頁鏈接進(jìn)行木馬分析�����。
木馬溯源:利用亞龍(安恒)獨(dú)特的溯源技術(shù)�����,追查出網(wǎng)頁木馬傳播的病毒�、木馬程序所在位置并且做出準(zhǔn)確剖析���。
獨(dú)有的“取證”模式確保評(píng)估結(jié)果準(zhǔn)確可信
對(duì)于使用者來說����,簡(jiǎn)潔全中文界面并不復(fù)雜�,非安全專業(yè)人士也易于上手,并且完備豐富的風(fēng)險(xiǎn)評(píng)估報(bào)告可生成管理員報(bào)表和程序員報(bào)表��,將掃描結(jié)果通過完整的評(píng)估報(bào)告方式呈現(xiàn)給用戶�����,提供相關(guān)弱點(diǎn)分析和分級(jí)并提出相應(yīng)加固建議方案,報(bào)告格式多樣化:EXCEL文件/PDF文件/HTML文件/CSV文件/文本文件/圖像文件�����,更加易于閱讀和分發(fā)�����。
明鑒WEB應(yīng)用弱點(diǎn)掃描器與市場(chǎng)上可見的任何一款同類產(chǎn)品的不同之處在于:它不僅具有非凡的掃描功能����,還提供了強(qiáng)大的滲透測(cè)試功能。掃描策略精確針對(duì)各個(gè)數(shù)據(jù)庫系統(tǒng)特點(diǎn)��,通過發(fā)現(xiàn)的弱點(diǎn)并進(jìn)行滲透測(cè)試取得弱點(diǎn)存在的直接證據(jù)����,從而確保最終報(bào)告風(fēng)險(xiǎn)漏洞存在的不可抵賴性。
通過使用明鑒WEB應(yīng)用弱點(diǎn)掃描器���,在將Web應(yīng)用程序重新掃描評(píng)估之后將掃描報(bào)告生成出由應(yīng)用程序的開發(fā)人員解決漏洞問題�����,再次上線�,至此一年多了WEB應(yīng)用系統(tǒng)從未出再有過安全事件的發(fā)生。
最后要提醒的是要真正認(rèn)識(shí)到�����,安全并不是權(quán)宜之計(jì)���,不是忙完了這陣子就算完。因?yàn)閃eb應(yīng)用程序是動(dòng)態(tài)變化的����,企業(yè)需要經(jīng)常地、不斷地測(cè)試和檢查�,以保障不會(huì)出現(xiàn)新的漏洞。現(xiàn)在筆者每隔一個(gè)星期就掃描一次(MatriXay 3.0具有定時(shí)掃描功能�����,大大減輕了我的工作時(shí)間和效率)遇問題�,及時(shí)反饋處理。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
