安恒信息明鉴Web应用弱点扫描器产品白皮书(3)

3.1 软件功能结构

明鉴WEB应用弱点扫描器（MatriXay）主要功能包含：全局配置，系统管理，项目管理，项目扫描、弱点检测，渗透测试、配置审计和报表管理。

产品的功能结构图如下：  

3.2 功能描述  

◆深度扫描：以风险为导向对WEB应用进行深度遍历，获得后台数据库信息及WEB应用列表  

◆WEB漏洞检测：对各类典型Web漏洞（如：SQL注入、Xpath注入、XSS、表单绕过、表单弱口令、各类CGI弱点、网页木马、跨站占请求伪造等）进行深度检测 

◆网页木马检测：对各种挂马方式的网页木马进行全自动、高性能、智能化分析，并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位? 

◆渗透测试：通过当前弱点，完全模拟黑客使用的漏洞发现技术和攻击手段，对目标WEB应用的安全性做出深入分析，并实施无害攻击，取得系统安全威胁的直接证据  

◆配置审计：通过当前弱点，模拟黑客攻击，实现数据库的审计功能，获得后台数据库连接信息、数据库实例名、数据库版本、数据字典等配置信息  

◆检测数据库类型：MSSQL/ACCESS/MYSQL/ORACLE/DB2/INFORMIX/SYBASE ? 

◆完整风险评估报告：报告格式：提供详细的检测扫描报告，包括扫描的URL信息、漏洞类型、安全加固建议等，报表格式支持PDF、XML、HTML、MHT、DOC、XLS、RPF等。  

◆报告模式：   

◆程序员报表：用于显示与应用相关的问题，包括具体漏洞位置、加固建议等内容。   

◆管理员报表：用于显示基础架构存在的问题，包括漏洞数量，漏洞种类等内容。  

◆扫描模式：客户可以灵活选择扫描器以下工作模式：   

◆工作方式：自动扫描、被动扫描(Proxy)  

◆扫描方式：简单模式（单个域名）、批量模式（多个域名）   

◆扫描范围：当前URL、当前子域名、整个域、任何URL   

◆扫描深度：根据需要设置扫描层次   

◆扫描线程：根据实际的网络连接情况和测试目标的承受能力进行设置   

◆扫描例外：同时支持路径例外、文件例外两种设置   

◆大小写区分：可在扫描过程中区分目录、文件等大小写设定   

◆强制检测URL：可设定强制检测的URL地址   

◆Flash支持：支持首页为FLASH跳转等页面爬行  

3.3 深度扫描及渗透测试流程举例  

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]