1 当前WEB应用面临的主要安全威胁

　　美国最权威的RSA大会研究显示，Web应用安全已超过所有以前网络层安全(如)，逐渐成为最严重、最广泛、危害性最大的安全问题。WEB安全的挑战主要来自以下几个方面：

　　XSS跨站攻击;

　　SQL 注入;

　　;

　　;

　　伪造报文;

　　RootKit隐身技术等等;

　　据国家计算机网络应急技术处理协调中心的统计调查显示，2008年中国的安全状况不容乐观，各种网络安全事件与去年同期相比都有明显增加、被植入的主机数量大幅攀升。中心通过技术平台共捕获约90 万个恶意代码，比去年同期增长62.5%;网页篡改事件和网络仿冒事件同比增长分别是23.7%和38%;木马控制端IP地址总数为280068个，被控制端IP地总数1485868个。

　　与此同时，攻击者从技术上针对不同网站所采用了不同的攻击方式以达到攻击目的，在过程中其利益趋势非常明显。对于政府类或安全管理相关网站，攻击者主要采用篡改网页、放置恶意代码等攻击形式，干扰正常业务的开展(如利用网络钓鱼和网址嫁接等对金融机构、网上交易等站点进行网络仿冒)、蓄意破坏政府或形象，严重的导致网站被迫停止服务。对于个人用户，攻击者更多的是通过用户身份窃取(如：利用间谍软件和木马程序等)手段，偷取用户游戏账号、银行账号、密码等，窃取用户的私有财产。

　　如此的安全状况，给WEB应用系统的稳定运行带来了前所未有的压力，WEB应用系统的安全已经成为了目前迫切需要解决的问题。

　　然而，面对如此严重的安全威胁，目前市场缺少相应的安全解决有效应对。

　　基于此，杭州安恒信息技术有限公司推出了全球领先的WEB应用弱点评估工具—明鉴TMWEB应用弱点扫描器(MatriXay)，为您的WEB应用提供安全风险评估和主动防御工具。

　　2 产品概述

　　明鉴TMWEB应用弱点扫描器(MatriXay)是杭州安恒信息技术有限公司在深入分析研究WEB-构架应用系统中典型安全漏洞以及流行的攻击技术基础上，研制开发的一款WEB应用安全评估工具。它采用攻击技术的原理和渗透性测试的方法，对WEB应用进行深度漏洞探测，可帮助应用开发者和管理者了解应用系统存在的脆弱性，为改善并提高应用系统安全性提供依据，帮助用户建立安全可靠的WEB，对WEB应用攻击说“不!”

　　明鉴TMWEB应用弱点扫描器(简称：MatriXay 3.6)是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成，该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月 发布,并在08奥运WEB安全保障中发挥了重要的作用。与市场上同类产品的不同之处在于：不仅具有非凡的扫描功能，还提供了强大的渗透测试、网页木马检测功能。因此，被评价为“最佳的WEB安全评估工具”。

　　MatriXay 3.6(2009版) 旨在降低WEB应用的风险，使国家利益、社会利益、企业利益乃至个人利益的受损风险降低，广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、等级保护测评机构、教育、及企业”等各领域的网站和内部B/S系统(如OSS系统、、等)。

　　作为公安部等级保护测评中心专用应用安全测评工具，安全中心运营商安全Web和数据库安全检查工具，MatriXay 3.6 (2009版)可以帮助用户充分了解WEB应用存在的安全隐患，建立安全可靠的WEB应用服务，改善并提升应用系统抗各类WEB应用攻击的能力(如：注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等)。

　　3 主要功能

　　3.1 软件功能结构

　　明鉴WEB应用弱点扫描器(MatriXay)主要功能包含：全局配置，系统管理，项目管理，项目扫描、弱点检测，渗透测试、配置审计和报表管理。

　　产品的功能结构图如下：