给Web应用做体检：安恒明鉴发布重磅新版

　　企业和机构对于网络安全威胁不可谓不重视，作为网络安全威胁的一个方面，Web应用层的安全同样吸引到我们大量的关注，相信国内的用户对于安恒明鉴Web应用弱点扫描器已经不再陌生了，该产品的3.x系列已经成为国内最具影响力的Web应用安全评估工具，并且在一年多的时间内被国内大量企业和测评机构所采用。11月25日，明鉴将会进行一次里程碑式的版本升级，明鉴Web应用弱点扫描器5.0的问世据称将会让Web应用安全评估解决方案全面走上一个新的台阶。

　　为此，我们也专程拜访了安恒信息总裁范渊和安恒信息北方大区技术总监及高级安全顾问李麒，想要探知明鉴5.0的一些技术内幕。

　　里程碑式的升级

　　正如此前提到的，明鉴3.x系列经过了一年多，六个大版本的发展，已经非常成熟，被国内各大企业和机构所采用，被证明是一套高效的解决方案，那么，明鉴5.0相比于此前的版本，难道还会有里程碑式的升级吗?

　　我们从范渊和李麒处得到的答案显然是肯定的。

　　相比于明鉴3.x系列，明鉴5.0实现了几个大的突破。

　　首先，明鉴5.0实现了Flash的全面解析。由于目前网络应用程序日趋复杂化，以Flash为载体的Web应用层出不穷，目前大多数Web应用安全检测方案不能很好的对Flash进行全面的解析，或者是只是肤浅的表面解析，这将会给安全评估带来巨大的隐患，而明鉴5.0实现了这个突破，能够全面对Flash的应用威胁进行解析。

　　其次，明鉴5.0拥有极低的漏报和误报率。这得益于安恒为明鉴5.0添加了独立的树形算法以及其拥有的获取数据包的能力，再辅助以融合沙盒技术的取证式扫描。尤其是沙盒技术，利用这项技术，明鉴可以将定位之后的Web漏洞特征在沙盒中进行测试，测试之后就能真实的得知漏洞和缺陷是否存在。

　　再次，随着越来越多的网络银行、网上营业厅等Web应用采用HTTPS协议进行传输数据，针对HTTPS的支持就显得尤为关键，明鉴5.0也提供了对于HTTPS应用系统的全面检测，从而能够探知对HTTPS下的Web安全漏洞。

　　当然，我们还不得不提到明鉴5.0对于国内Web应用的高度兼容。由于安恒作为一个中国厂商，因此，对于中国网络的Web应用环境非常熟悉，包括PHPWind在内的在中国互联网上大量流行的Web应用都能知根知底，进行深度的检测。

　　除此以外，明鉴Web应用弱点扫描器5.0还支持Web 2.0的应用，支持各类JavaScript脚本解析，同时能够支持WAP累以及WMLScript脚本类应用系统，支持所有类型的动态页面和各种各样的数据库类型，在漏洞类型上，明鉴5.0支持包含OWASP TOP 10：A1-注入攻击、A2-跨站脚本(XSS)、A3-失效的认证和会话管理：、A4-不安全的直接对象引用、A5-跨站请求伪造、A6-安全配置错误、A7-限制URL访问失败、A8-尚未认证的重定向和转发、A9-不安全的密码储藏、A10-传输层保护不足等等在内的攻击模式。

　　可以说，明鉴5.0将国内Web应用安全评估解决方案的整体实力提升到了一个新的高度，我们也预计这将成为未来行业内的一个标杆。

　　Web安全的体检机构

　　如果打个比喻，安恒明鉴Web应用弱点扫描器5.0可以认为是体检的仪器，可以为“患者”进行全面的身体状况排插，检测出存在问题的地方。而在与范渊的交流中，我们同时也了解到，安恒不仅仅只提供这个体检的仪器，同时还提供整体的“体检服务”。

　　范渊表示，安恒将会继续推行产品变服务的政策，也许很多企业或者机构的用户并不想为进行体检而购买体检设备，这个时候，安恒就可以通过其优质的服务，来帮助用户进行Web应用层面的全面体检服务。从某个角度上来说，安恒在这其中扮演的角色正类似于专业的体检机构，用户不仅可以选择购买体检仪器——明鉴Web应用弱点扫描器，自己进行排查，同时还可以选择安恒的体检服务——整体的Web应用安全评估解决方案。

　　各类的权威分析机构总能得出结论，网络中至少七成以上的安全威胁来自于应用层面，关注应用层安全的重要性我们不需要再重复累述，在检测企业的Web应用面临的漏洞和风险时，最容易碰到的问题就是漏报和误报，前者埋下隐患，后者无谓的增加企业的安全维护成本，我们现在很欣喜的看到，明鉴Web应用弱点扫描器的新版本以解决漏报和误报问题为重点，并且已经有了一个不错的解决这个问题的体系，根据范渊的表示，安恒明鉴5.0的漏报和误报率可以降低到3%以内，而业内目前的平均水平仅能保持在15%到20%，这的确是一个了不起的进步了。