随着全球信息化的迅猛发展,互联网早已成为人们日常生活中不可或缺的“产品”。虽然获取信息、休闲娱乐仍然是网民上网的主要动机,但是为购物、炒股、商务活动等原因上网的网民越来越多。电子政务、B2B、B2C等电子商务活动也在不断发展。在网络为人们的工作和生活不断带来诸多益处的同时,也不断给网络用户带来新的烦恼。与世界其他国家和地区一样,中国的网络用户不断遭到网络黑客和病毒的入侵。计算机网络安全日益引起政府、企业、组织机构以及个人的关注。
去年笔者所在的公司网络支付系统被黑客入侵而损失上百万的安全事件正与Web应用程序密切相关,同时,也唤醒了领导对WEB应用程序安全的重视,觉得有必要在采取防范措施之前先对自己的系统进行一次严格的渗透测试已成必然。
据有关数据统计显示,如今多数支持外部访问的应用程序都是基于Web的,而其中的多数又都包含着可被利用的漏洞。在此之前,笔者就有对上级领导请示过相关问题,而领导认为单位的网站有了网络硬件防火墙的保护就不需要其它保护措施了,已经是非常安全了。以致于酿成此次事件的发生。因为公司网络支付系统的攻击事情是依赖于Web应用程序中的缺陷,这些缺陷通常都包含着易于被利用的漏洞。而网络防火墙必须对80端口开放,才能使网站正常运行,此时对于黑客攻击,网络硬件防火墙就毫无安全可言。
在经历此次事件之后,笔者强烈建议,在将Web应用程序推向实际使用之前,最好先借助Web应用程序渗透工具测试一下。目前,这类工具多数都可以执行Web应用程序的自动扫描,它们可以实施一些威胁模式测试,从而揭示一些常见的漏洞,例如许多程序可以揭示Sql注入式攻击漏洞、跨站脚本攻击等。有时,这些工具还可以提供一些参数供用户修正所发现的漏洞。而如今的安全测试市场并没有绝对的标准,所以有必要探讨一下我们单位所采购的评估工具。
明鉴TMWEB应用弱点扫描器它是由安恒安全专家团队在深入分析研究WEB-数据库构架应用系统中典型安全漏洞以及流行的攻击技术基础上,研制开发的一款WEB应用安全评估工具,它采用攻击技术的原理和渗透性测试的方法,对WEB应用进行深度漏洞探测,可帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据,帮助用户建立安全可靠的WEB应用服务。该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月 发布,并在08奥运WEB安全保障中发挥了重要的作用。与市场上同类产品的不同之处在于:不仅具有非凡的扫描功能,还提供了强大的渗透测试、网页木马检测功能。因此,被评价为“最佳的WEB安全评估工具”。
MatriXay 3.0(2009版) 旨在降低WEB应用的风险,使国家利益、社会利益、企业利益乃至个人利益的受损风险降低,广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、等级保护测评机构、教育、电子商务及企业”等各领域的网站和内部B/S系统(如OSS系统、ERP系统、OA系统等)。
作为公安部、浙江省信息安全等级保护专用应用安全测评工具,MatriXay 3.0可以帮助用户充分了解WEB应用存在的安全隐患,建立安全可靠的WEB应用服务,改善并提升应用系统抗各类WEB应用攻击的能力(如:注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等)。经过对比多家领先安全厂商的产品之后,最终决定选择杭州安恒信息技术有限公司所开发的MatriXay 3.0(2009版)。
明鉴WEB应用弱点扫描器(MatriXay)主要功能包含:全局配置,系统管理,项目管理,项目扫描、弱点检测,渗透测试、配置审计和报表管理。
