網站應用層安全隱患評估系統(tǒng)

網站應用層平安隱患評估系統(tǒng)

AppExploreVersion1.0RealSOIInformationSecurityR&DLab業(yè)界專家論證會FUNianDong〔傅念東〕NetworkSecurityResearcherREALSOIINFOTECHCISO目錄專家介紹公司簡介RealSOIAppExplore&APPSecurity產品化特點典型案例總結專家介紹高慶獅院士卿斯?jié)h中科院研究員賀也平中科院副研究員陳立杰軍方高工徐廣方軍方總工、高工江常青國家測評認證中心情報部主任目錄專家介紹公司簡介RealSOIAppExplore&APPSecurity產品化特點典型案例總結REALSOIINFOTECH瑞索訊杰信息技術〔北京〕是成立于2002年7月的高新技術型企業(yè)和“雙軟認證〞企業(yè)公司位于中國北京，并在西安、上海設有研發(fā)合作小組，從事網絡平安領先技術的研究和產品開發(fā)公司定位于AppSecurity和ComputerForensicsCertifiedInformationSystemsSecurityProfessional(CISSP?)CertifiedInformationSystemsAuditor(CISA?)CISPlecturer?RealSOI-AnitsolutionInformationSecurityR&DLab一流的AppSecurityLab&ComputerForensicsLabAnitsolution北京華安永誠信息系統(tǒng)由資深信息技術、網絡平安專家創(chuàng)立的專業(yè)效勞公司公司致力于網絡平安集成和專業(yè)的網絡平安效勞與瑞索訊杰共同出資組建信息平安積極防御實驗室，專注應用平安和計算機取證技術、產品的研發(fā)與推廣主流平安廠商良好的合作關系骨干員工來自國內外知名的網絡平安公司企業(yè)技術領導人于90年代中期開始致力于網絡事業(yè)開始于1998年，先后為國內兩家一流平安企業(yè)創(chuàng)辦積極防御研究中心并擔任技術負責人成功參與和負責國家信息平安工程的設計和監(jiān)理[國際CISSP認證/國內CISP講師]認證成功參與過多起計算機犯罪專家取證成功領導多個行業(yè)平安風險評估工程—中國電信/中國移動/證券/銀行REALSOILEADERREALSOILEADER1999年創(chuàng)辦中國最大的驅動程序開發(fā)資源論壇〞中國驅動開發(fā)網〞

著作?JAVA高級開發(fā)指南?；著作?DriverStudio開發(fā)指南及庫參考?；著作?Windriver開發(fā)指南及庫參考?；著作?程序春秋?REALSOI成功案例

成功實施河南省濟源市網上行政審批便民服務系統(tǒng)集成和網絡安全整體工程，合作企業(yè)：國研股份安全知識培訓服務中國保監(jiān)會網站安全保障服務合作者：華安永誠中國國際招標網網站系統(tǒng)安全評估和保障服務

中石化工程建設公司安全風險評估，合作者：江南科友對北京公安一局進行網絡技術及FBI取證技術課程培訓，周期一個月；國家質量監(jiān)督檢疫總局系統(tǒng)網絡安全輪訓；信息產業(yè)部安全培訓；中央電視臺央視網絡安全培訓；合作者：清華繼續(xù)教育學院；成功案例成功地完成了中國電信31個省份網管人員的UNIX攻擊和防御技術培訓，為期3天；成功地完成了中國國家評測中心實驗室的網絡攻擊和防御技術培訓；榮幸地被中國國家評測中心唯一免試特聘為UNIX安全管理課程講師，并成功完成人民銀行CISP認證培訓網絡攻擊和防御技術培訓以及UNIX安全管理培訓；并將于2003年4月14日參與該中心組織的民生銀行CISE認證培訓授課；協(xié)助西安市公安局信息大隊公安人員進行電子信息犯罪取證現場技術專家分析，使用到我公司的信息犯罪取證智能決策和指導知識庫系統(tǒng)，地點：寶雞市AppExploreV1.0軍用版技術培訓和相關項目合作；AppExplore系我公司自主研發(fā)成功的國內首套大型網站應用層安全隱患測評系統(tǒng)，目前產品系列分析軍用版/金融版/電子政務版/大型企業(yè)版為西安市電信局信息部門開發(fā)新一代IP地址分布式定位系統(tǒng)，即將投入使用；與英國標準協(xié)會北京OFFICE(BSIBEIJING)協(xié)力推動BS7799標準在中國保險行業(yè)的應用；REALSOI的平安研究歷程安全硬件平臺動態(tài)安全資源管理與Anitsolution共同為用戶提供一流的平安資源整合和企業(yè)風險管理FirewallIDSAntiVirusVPN

CA非法途徑撥號外聯(lián)管理HTTP/HTTPS80/443黑客自由出入的通道？Middle-Ware

APPSERVERWEBSERVERDATABASE當前>70%的入侵來自WEB應用層企業(yè)級應用層平安隱患評估統(tǒng)計統(tǒng)計全球黑客利用應用層或者未知的平安隱患入侵破壞技術，對各類型網站應用平臺構成巨大威脅：--新聞報道AtomicPalertscustomerstobreach—CNetNMar20,2001Nasdaqdefaced..andotherseasonalgraffiti

—SecurityWDec27,2000APSiteHacked

—InteractiveWeekMar20,2001FrenchGroupClaimsDoubleClickhackedfor2years—EcommerceTimes,Mar28,2001

ElectronicHolyWarHitsD.C.Pro-IsraelSite

—Newsbytes,Nov3,2000

NTremainshackers'favorite

—VNUnet,Jan10,2001

HackershitU.S.,U.K.,Australiangovernmentsites-InfoWorldJan22,2001

Travelocityexposescustomerinformation

—CNetJan22,2001

U.S.NavyHacked

—SecurityW,March30,2001

LaxSecurityFoundinIRSElectronicFilingSystem—LATImes,Mar15,2001

--黑客已經無數次地造成：1.網上電子商城業(yè)務系統(tǒng)遭受黑客完全訪問2.網上花市用戶信用卡數據失竊3.網上電子書城重要數據被刪除4.網上電子商務交易被黑客偽造等5.政府網上形象站點頁面被黑客涂抹6.其它方面影響統(tǒng)計根據美國聯(lián)邦商務委員會(FederalTradeCommission)調查顯示，2002年期間，全球與網絡平安直接相關的經濟損失高達18億美金惡性蠕蟲出現之后，損失將顯著增加–研究跟蹤發(fā)現：近期將出現利用網站應用層漏洞如SQLINJECTION隱患進行破壞性攻擊的新一代惡性蠕蟲??！60%的入侵者會考慮從Applicationlevel進行入侵，通常，網絡中的加密手段和防火墻措施都被繞過事實上，WEB應用正逐漸成為網上商業(yè)的核心“SecurityisaBUSINESSDRIVER!〞–只有平安，網上商業(yè)才能有動力！專業(yè)針對應用中未被揭露的平安隱患自動化評估系統(tǒng)已經被成功研制，可以輔助解決應用層大量和未知的平安問題

最新動態(tài)瑞索咨詢家網站應用層平安隱患評估系統(tǒng)－－－AppExplore受到中國信息平安產品測評認證中心的關注，并在中心試用受到北京信息平安測評中心的關注，擬作為黨政網站的應用平安評估工具Thanks!網站應用層平安隱患評估系統(tǒng)

AppExploreVersion1.0FUNianDong〔傅念東〕NetworkSecurityResearcherREALSOIINFOTECHCISORealSOIInformationSecurityR&DLab業(yè)界專家論證會關注應用平安-完善平安體系大量黑客事件警示了防火墻和入侵監(jiān)測系統(tǒng)在應用層攻擊手段下往往無能為力安裝補丁不能完全解決應用平安問題[應用程序平安編碼]對于完善整個平安體系的重要性采用科學的評估手段針對企業(yè)WEB系統(tǒng)進行“黑箱子測試〞，實施多方位的應用層入侵技術模擬評估，揭露應用平安隱患迫在眉睫應用平安啟示：REALSOI的平安定位AppSecurity應用平安ComputerForensics計算機取證RealSOIAppExplore&APPSecurity專家介紹公司簡介RealSOIAppExplore&APPSecurity產品化特點典型案例總結REALSOIAppExplore成熟產品化商業(yè)評估軟件專業(yè)應用層平安隱患揭露系統(tǒng)普通Scanner+AppExplore形成完整有效的新一代測評組合平安效勞市場的主要切入點將會逐漸轉向應用平安領域應用層的專業(yè)評估將在完整的平安解決方案中擔任重要角色AppExplore定位：AppExplore為誰效勞？電子商務應用平臺和形象宣傳平臺網上銀行應用平臺和形象宣傳平臺電子政府應用平臺和形象宣傳平臺大中型企業(yè)網站應用和宣傳平臺ISP/ASP客戶增值評估效勞工具系統(tǒng)第三方測評認證機構工具系統(tǒng)軍方專用敵對網站打擊滲透工具系統(tǒng)〔直接打擊功能為特別定制〕其他任何具有應用層平安效勞需求的客戶群AppExplore思考的十大類平安問題APPLICATIONBUFFEROVERFLOW應用層緩沖區(qū)溢出〔壓力測試〕COOKIEPOISONINGcookie平安使用狀況評估CROSS-SITESCRIPTING跨站腳本攻擊風險評估HIDDENMANIPULATION頁面隱藏參數域篡改風險評估STEALTHCOMMANDING系統(tǒng)隱蔽指令執(zhí)行風險評估3RDPARTYMISCONFIGURATION第三方誤配置平安隱患KNOWNVULNERABILITIES各類型平安漏洞PARAMETERTAMPERINGURL參數篡改攻擊風險評估BACKDOOR&DEBUGOPTIONS后門程序和調試選項遺留隱患FORCEFULBROWSING網站內容強力瀏覽問題應用平安方面的權威書籍權威資料參考：?WebHacking:AttacksandDefense?byStuartMcClure,SaumilShah,ShreerajShah?HackingExposed(TM)WebApplications?byJoelScambray,MikeShema

如果存在以上十大類問題，那么。。由于COOKIE中毒平安隱患，導致黑客可能實施身份偽裝攻擊；由于隱藏字段信息篡改隱患，黑客可能實施電子欺騙；由于URL參數、表單變量存在平安隱患，黑客因此可能進行系統(tǒng)指令執(zhí)行、邏輯認證繞過、后臺數據庫攻擊等；由于應用程序緩沖區(qū)溢出隱患，黑客可能導致業(yè)務終止甚至獲取非法權限；由于跨站點腳本執(zhí)行隱患，導致黑客可能實施不同程度基于信息泄漏的攻擊；由于第三方軟件的錯誤設置和典型的平安隱患存在，導致不同類型的黑客入侵破壞；AppExplore面對的市場背景用戶普遍還停留在FW+IDS層次的平安防護意識；國內用戶對應用平安知識了解不夠，對應用平安隱患和風險認識不夠，在國外，應用平安專家已經開始就應用平安問題進行普及宣傳；面對網絡級和系統(tǒng)級平安，多數用戶〞亡羊補牢〞，而應用級平安迫在眉睫，需要的是〞未雨綢繆〞；應用層隱患普遍存在，一旦爆發(fā)蠕蟲式惡意攻擊，將形成〞NIMDA現象〞；這是一份來自臺灣的調查統(tǒng)計：針對最為嚴重的SQLInjection漏洞的調查，由於國內九成以上網站皆使用SQL資料庫系統(tǒng)，因此，經警方測試，研判國內八成以上的網站已面臨「資料隱碼」攻擊方式的嚴重威脅。5.整體上，平安編程意識的缺乏導致不平安的應用不斷出現應用平安風險之應用層緩沖區(qū)溢出緩沖區(qū)溢出是一種很典型的軟件漏洞，黑客通過輸入超長的惡意參數，讓程序處理該參數時超過預設的緩沖區(qū)范圍，導致難以預料的后果。此類漏洞在Web應用程序中也時常出現舉例：對象是一個要求客戶輸入個人信息的頁面。用戶查看該頁面的源代碼后發(fā)現，“companyname〞字段的最大長度設為30〔<inputtype=“text〞name=companynamemaxsize=30>〕，這就可能意味著效勞器端的CGI程序期望處理的最大字符串長度是30。如果惡意用戶修改了這個值，比方改成10000，然后在"companyname"輸入字段中填充大量的字符，提交給Web效勞器后，CGI程序很可能發(fā)生緩沖區(qū)溢出，Web效勞器將發(fā)生難以預料的后果。應用平安風險之應用層緩沖區(qū)溢出應用平安風險之應用層緩沖區(qū)溢出應用平安風險之應用層緩沖區(qū)溢出應用平安風險之應用層緩沖區(qū)溢出應用平安風險之應用層緩沖區(qū)溢出應用平安風險之cookie平安傳統(tǒng)的Web應用系統(tǒng)，為了支持面向用戶的網頁內容，通常都使用cookies機制在客戶端主機上保存某些信息，例如用戶ID、口令、時戳等。這些cookies可以用來維護Web訪問會話遷移過程中的狀態(tài)信息，使效勞器可以識別前一個會話過程的用戶。因為cookies通常是不經加密就保存在用戶的桌面系統(tǒng)中，黑客能夠很容易地篡改cookies內容，由此獲取其他用戶的賬號，導致嚴重的后果。舉例：一個存在cookie毒害漏洞的例子。這是一個支持在線付費的網站。下面圖例中，一個名為Abacarius的消費者〔黑客？〕登錄網站，需要提交幾筆付費工程。該網站是通過保存在客戶端的cookie信息來識別登錄用戶的，而客戶端cookie文件中保存的“abacarius〞用戶名只經過了簡單的“加密〞處理〔將a變成z，b變成y，依此類推〕，即“zyzxzirfh〞。黑客只需要替換掉這個字串內容，就可以冒名頂替其他用戶進行付費操作了。例如，將"zyzxzirfh"替換為"qlsmhlm"，也就是將"abacarius"用戶更名為"Johnson"。應用平安風險之cookie中毒應用平安風險之cookie中毒應用平安風險之cookie中毒應用平安風險之cookie中毒應用平安風險之cookie中毒應用平安風險之跨站腳本攻擊跨站腳本〔Cross-sitescripting，CSS〕是一種向其他Web用戶瀏覽頁面插入執(zhí)行代碼的方法。Web效勞器端應用程序要是接受客戶端提交的表單信息而不加驗證審核，黑客很可能在其中插入可執(zhí)行腳本的代碼，例如JavaScript、VBScript等，如果客戶端提交的內容不經過濾地返回給任意訪問該網站的客戶端瀏覽器，其中嵌入的腳本代碼就會以該Web效勞器的可信級別被客戶端瀏覽器執(zhí)行，這就是CSS漏洞的問題所在。

存在這種漏洞的最典型的例子，就是某些網絡論壇，這些BBS會向客戶端返回其他用戶之前輸入的內容，許多搜索引擎網站也存在此類問題。收到這些嵌入惡意代碼內容的客戶端瀏覽器，如果信任內容來源網站，惡意代碼就可能在客戶端主機執(zhí)行。

應用平安風險之跨站腳本攻擊跨站腳本漏洞的本質還在于Web應用程序沒有對客戶端輸入進行嚴格校驗。黑客利用此類漏洞，可能實施的攻擊操作包括：竊取用戶COOKIE，偽造身份；偽造網頁內容；客戶端拒絕效勞攻擊和惡性病毒傳播；執(zhí)行系統(tǒng)命令–高級黑客入侵技術；等。應用平安風險之跨站腳本攻擊某個惡意用戶就某個嚴重問題草擬報告如下正常內容—大家好啊。<imgsrc=://width=“10〞height=“10〞></img>應用平安風險之跨站腳本攻擊參考：以上所貼的被證明包含有網頁惡性病毒，理論上，所有信任該站點的重要客戶都有可能由于瀏覽該頁面文件而感染病毒。

應用平安風險之操縱頁面隱藏字段隱藏字段即HTML表單中hidden類型的字段。

Web系統(tǒng)本身是無狀態(tài)的，為了維持客戶端/效勞器之間的會話狀態(tài)，Web應用系統(tǒng)最簡單也最普遍采用的方法就是用隱藏字段存儲信息。但是，隱藏字段并非真正"隱藏"，它僅僅是不顯示給用戶而已，提供給客戶端的靜態(tài)頁面源碼中就保存有隱藏字段的真實內容。許多基于Web的電子商務應用程序用隱藏字段來存儲商品價格、用戶名、密碼等敏感內容，客戶端瀏覽器只要用"ViewSource"命令就可以查看其真實的內容。例如：

<inputtype="hidden"name="Price"value="10.50">

心存惡意的用戶，用瀏覽器簡單地保存HTML頁面源代碼，修改隱藏字段內容，重新提交給效勞器端，Web效勞器如果不對這種改變做進一步驗證，就很容易用新的偽造的信息處理交易，這是一種非常危險的漏洞。應用平安風險之操縱頁面隱藏字段在技術上使用隱藏字段來存儲商品價格、用戶名、密碼等敏感內容，客戶端瀏覽器只要用“ViewSource〞命令就可以查看其真實的內容。應用平安風險之操縱頁面隱藏字段<inputtype="hidden"name="Price"value="10.50">應用平安風險之操縱頁面隱藏字段修改Value=“1.95〞，重新提交給效勞器端處理應用平安風險之操縱頁面隱藏字段Web效勞端CGI如果不對這種改變做進一步驗證，就很容易用新的偽造的信息處理交易。購物車CGI接受你以$1.95的價格購置$129.95的商品應用平安風險之隱蔽指令執(zhí)行〔主要是指Unix效勞器〕效勞器端include通過從本地硬盤驅動器中調用文檔或其它對象，然后將這些元素自動包含在Web頁面中。

例如：#execcmd=“rm–rf*〞這個看起來象SSI,假設這條SSI成功執(zhí)行且HTTPD正在根下運行，那么刪除的將是整個驅動器。大多數站點禁止使用SSI.舉例：入侵者在本該填寫StreetAddress的可輸入區(qū)域填寫敏感文件查看指令<!–#exec/bin/cat/etc/ssl/private.pem-->入侵者聰明地驅使WEBSERVER把SSLkey文件附加顯示到網頁上，從而可讓自己成功扮演效勞器角色搜集各種客戶重要信息應用平安風險之隱蔽指令執(zhí)行應用平安風險之隱蔽指令執(zhí)行<!--#includefile="/export/home-c1/jkzki6/htdocs/test.txt--><!--#includevirtual="/test/test.txt"--><!--#execcgi="/export/home-c1/jzki6/cgi-bin/test.cgi"--><!--#execcmd="./date.sh"--><!--#execcmd="test/test.pl"-->

應用平安風險之隱蔽指令執(zhí)行入侵者驅使WEB效勞器把SSLkey文件附加顯示到網頁上，從而可讓自己成功扮演效勞器角色搜集各種客戶重要信息應用平安風險之平安漏洞許多操作系統(tǒng)及第三方應用軟件〔包括Web效勞器和數據庫效勞器〕都存在一些漏洞，如果管理員不及時安裝已經發(fā)布了的軟件補丁，這些漏洞就很可能被黑客利用。因為黑客只需要用簡單的漏洞掃描器和大量的漏洞披漏網站就可以知道該怎樣實施攻擊了。其實，許多漏洞都可以歸類到前面介紹的幾種典型漏洞當中舉例：IIS效勞器的ASPAlternateDataStreams漏洞，只要在ASP文件名后加上“::$DATA〞后綴，就可以看到ASP文件源代碼，這個漏洞就屬于典型的CGI參數欺騙類型。而另一個此類漏洞IISUnicode漏洞，那么可以讓黑客查看敏感信息，執(zhí)行系統(tǒng)命令，進行文件操作，后果將是非常嚴重的。://bugsites/login.asp::$DATA

://www/_vti_bin/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\

應用平安風險之平安漏洞應用平安風險之平安漏洞應用平安風險之平安漏洞應用平安風險之平安漏洞應用平安風險之后門程序和調試選項遺留在程序開發(fā)期間，程序員通常都會在代碼中參加一些調試選項或功能，這是供程序測試使用的。不過，種種原因，這些調試功能往往會在軟件的最終正式版中得以保存，這就給黑客或惡意程序員提供了極大的方便。通過激活這些調試選項，黑客可以進行某些特別的操作。除了調試功能，程序中有時候還保存一些后門機制，例如讓開發(fā)人員直接進行正常情況下應該禁止的操作，或者是不提供口令進行登錄，或者可以直接訪問某個特殊的URL，這也給黑客提供了方便之門。舉例：一個網上銀行客戶帳務管理接口程序，客戶可以方面通過CGI程序進行各類帳務操作，但是，為方便引擎開發(fā)者在線調試和開發(fā)，后臺引擎留下debug類操作后門,開發(fā)者或者是黑客可以通過向后臺CGI傳遞debug=on相關指令來越權控制任何客戶個人信息

debug=on&from=987987-233&to=234232-234&amount=10000

應用平安風險之后門程序和調試選項遺留應用平安風險之后門程序和調試選項遺留應用平安風險之后門程序和調試選項遺留應用平安風險之強力瀏覽問題存在這類型平安問題的網站通常采用某種技術方式來存儲敏感文件，如：采用系統(tǒng)臨時文件的方式來存儲本該保密的用戶資料，但是惡意入侵者通過對效勞器返回給客戶端瀏覽器的HTML源程序進行閱讀和分析，將通過重組URL連接的方式直接獲得這類敏感文件的訪問權。舉例：這是一個為兒童提供游戲娛樂和教育的網站，每個兒童都注冊了自己的詳細個人資料，如家庭住址，父母背景等，網站管理員把資料文件存放在效勞器上，沒有提供直接的訪問路經。但是，在網站某處的HTML源代碼中，卻留有一段寫在注釋中的信息--/private/kids.cvs任何人都可以輕易閱讀到保密的kids.cvs應用平安風險之強力瀏覽問題應用平安知識之強力瀏覽問題應用平安風險之強力瀏覽問題應用平安風險之參數篡改攻擊如果Web應用程序沒有對客戶端提交的參數進行嚴格校驗，就有可能對客戶端參數中包含的某些特殊內容進行不適當的處理，導致難以預料的后果。這類漏洞最常見于那些應用了SQL數據庫后端的Web效勞器，黑客通過向提交給CGI程序的參數中“注射〞某些特殊SQL語句，最終可能獲取、篡改、控制Web效勞器端數據庫中的內容。,當然，此類漏洞的另一種后果，就是泄漏某些敏感信息，許多Web效勞器及應用系統(tǒng)都曾經披漏過此類問題。利用此類編程漏洞執(zhí)行系統(tǒng)指令也是常用的入侵方式。舉例：(1)'or1=1--邏輯認證繞過SELECT*FROMtblUserWHEREUserName=''or1=1--'ANDPassword='asdf‘(2)利用錯誤信息取得資料表內各欄位的資料形態(tài)

‘UNIONSELECT'abc',1,1,1FROMtblUser–

SELECT*FROMtblUserWHEREUserName=

'‘UNIONSELECT'abc',1,1,1FROMtblUser--'

ANDPassword='asdf'應用平安風險之參數篡改攻擊普通客戶提交正常要求helloworld7777-8888-222Aaaaaaaaaaaaa-bbbbbbbbbbbbb不懷好意者在此欄提交各種測試代碼，如“‘〞應用平安風險之參數篡改攻擊應用平安風險之參數篡改攻擊'','','','')select123--test111-111應用平安風險之參數篡改攻擊AppExplore評估該類型的報告顯示：SQLINJECTION攻擊之簡單符號匹配[2]模式測試

類似于new.asp?id=255

通常asp腳本程序訪問SQL數據庫的寫法是SELECT*FROM[newstable]WHERE[ID]=‘@value’

Asp腳本程序員沒有對@value進行單引號等特殊符號校驗，導致入侵者可以在@value后面構造自定義的復雜SQL指令通過asp腳本程序傳遞給后臺數據庫執(zhí)行，入侵者的操作權限等同于asp腳本程序訪問數據庫對應的數據庫賬號映射到系統(tǒng)賬號的權限！

如果asp腳本程序調用的是sysadmin組的用戶，將導致入侵者可以直接使用localsystem賬號執(zhí)行系統(tǒng)命令；

例如:

news.asp?id=255’exec“netusertmpuser/add〞--

news.asp?id=255’exec“netlocalgroupadministratorstmpuser/add〞--

臨時解決方法:

對于所有用戶提交的數據進行根本的特殊字符前臺過濾和屏蔽；

采用Replace(@value,“‘",“'‘“)等方法防治入侵者的指令從字符串跳出演變成為具有危害性的SQL指令。產品化特點專家介紹公司簡介RealSOIAppExplore&APPSecurity產品化特點典型案例總結小投入、大作用小投入、大作用Anitsolution2000?論平安體系的完整性?“AppExplore系列產品對整個網站應用平臺的平安健康狀況層次化的表示，使得平安管理員和評測員能切實看到網站的應用平安全貌和黑客入侵威脅點并作出正確響應，真正做到未雨綢繆.〞極大降低應用平安效勞本錢24小時/2位應用平安專家手工評測成果小于等于20分鐘/AppExplore+一名普通操作人員的評測效果基于定制策略的定時評估，網段評估公正的“黑箱子測試〞使得程序員和系統(tǒng)平安分析員一目了然地知曉故障點和排除故障最簡便的方法評估結果報告將直接告訴用戶“哪個文件的哪個參數出了問題，是什么類型的問題？〞產品整體特點網站應用結構圖分析功能：立足于網站系統(tǒng)應用的平安規(guī)劃，多種手段相結合，完整而詳細的分析出目標網站的目錄結構和文件關系。應用平安隱患分析功能：分析來自網站結構圖中的每一個網站功能腳本程序的應用狀況，借助于專用的知識數據庫，針對所有可能為黑客所利用的入侵工程進行多樣化多層次的探測和分析。最終得到真正對管理者做出決策有實質性幫助的平安隱患報告。分析過程支持交互式策略和全自動策略；支持代理(proxy)掃描；SSL和客戶端認證支持；

本評估系統(tǒng)廣泛支持各種常見應用系統(tǒng)或者引擎語言：ASP,PHP,ColdFusion,LotusDomino,BEAWebLogic,Perl,NetscapeJavaServletPages等產品整體特點基于國際標準和行業(yè)標準的風險報告功能：

形成通俗易懂的風險說明報告。圖文并茂地展現出漏洞表、威脅表、風險比率圖等報告，顯示詳細平安隱患來源和背景。使得使用該產品的人員能夠在不斷掌握新平安知識的情況下來抵御應用層黑客的入侵。穩(wěn)定快捷的在線升級功能：

簡單方便的網絡在線升級功能，將不斷的更新升級最新的專用知識數據庫。獨特的預警模式，將第一時間提醒您關注最新的平安風險。

反盜版和反破解設計：

防止該系列產品不會被未授權非法使用。嚴格的認證和授權-躲避濫用安裝序列號認證基于硬件序列種子的網絡認證管理員口令認證直觀的界面-主界面直觀的界面-平安瀏覽器直觀的界面-綜合報告界面其它關鍵界面一覽其它關鍵界面一覽其它關鍵界面一覽典型案例專家介紹公司簡介RealSOIAppExplore&APPSecurity產品化特點典型案例總結典型案例1使用REALSOIAppExplore來加強平安策略，從可操作化角度進一步滿足GB18336的標準要求AppExplore能穿越多個入侵監(jiān)測系統(tǒng)、防火墻，從電子政務網上應用的前端系統(tǒng)一直滲透評估到后臺數據庫系統(tǒng)自從使用AppExplore系統(tǒng)進行全面評估之后，暴露了不計其數的此前根本沒有關注的致命隱患經過配套的平安編程知識強化培訓，電子政務建設者普遍對應用平安的解決方案有了深刻理解，同時也對電子政務更加充滿信心電子政務全國性網上政府公開網站平安大檢閱：“自從開始使用REALSOIAppExplore評估系