——最强大、最全面的渗透测试工具
产品概述
明鉴®半自动化渗透测试工具全面覆盖信息收集、漏洞发现、漏洞利用、文档生成等渗透测试的全过程。借助安恒信息多年的渗透测试服务经验,融入安恒信息特有的渗透测试理念,为用户解决测试发现的安全问题,从而有效地防止真实安全事件的发生。
主要功能
信息收集
信息收集是每一个渗透测试的前提,通过信息收集可以有针对性的指定模拟
攻击测试计划,提高模拟攻击的成功率和时间,同时还可以有效降低攻击测试对系统正常运行的不利影响。
漏洞发现
权威Web扫描器,精确快速发现安全风险
网站安全检查工具实现对信息系统的Web安全检查,支持对SQL注入、XSS
跨站脚本、伪造跨站点请求、网页木马、隐藏字段、表单绕过、弱配置、敏感信息泄漏、弱口令、框架注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookies注入、敏感文件、第三方软件、其他各类CGI等漏洞进行扫描;支持易通、织梦、Discuz、Ecshop、方欣、大汉、通达OA、SHOPEX、亿邮邮件系统命令执行等国内外众多知名Web应用程序漏洞扫描;支持Oracle、SQL Server、DB2、Informix、Sybase、MySQL、PostgreSQL、Access、 Ingres等后台数据库类型识别;用户根据自己网站的实际情况选择不同的扫描策略,同时对检查出来的问题提供弱点描述、修改和改进建议。
首创数据库扫描评估工具,评估数据库安全隐患
数据库安全检查工具实现对Oracle、Sybase、DB2、Informix、MySQL、
SQL Server等主流数据库系统进行安全检查,检查的内容主要包含了不安全配置、安全策略、补丁升级、权限分配、访问控制、弱口令等。
源于背后专业团队的系统扫描工具
系统漏洞扫描工具实现了对Microsoft Windows XP/2003/Vista/2008/7、
Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等操作系统进行漏洞扫描,以及Web、FTP、电子邮件等应用系统以及Office、Apache等常用软件漏洞扫描。同时也可以对网络设备进行漏洞扫描。可以自动统计总体漏洞数量、统计不同操作系统类型的主机数量、统计所有开发端口、可用帐户、可列出每一个漏洞所存在的主机、详细描述与修补建议。漏洞详细描述包括:漏洞名称、详述、修补方案、CVE/CNNVD编号等。
漏洞利用
通过初步的信息收集分析和漏洞扫描评估,将已掌握的漏洞信息利用漏洞验
证功能准确的一键验证获取目标系统权限,无需使用人员掌握大量安全知识和繁琐的渗透利用。
安全知识库
渗透测试是一门技术,而技术也会随着互联网的发展而变化,持续保持高超的技术需要不断的进行学习,安全知识库显示最新的安全资讯、漏洞信息以及漏洞利用Expolit,给使用者进行源源不断的充电。
产品特点
1.全面、快速的信息采集
支持操作系统信息、端口、域名信息、网站指纹采集;
多线程并发采集。
2.准确、全方位的漏洞检测
涵盖系统漏洞、网站漏洞、数据库漏洞;
权威的弱点库、策略库;
支持windows、Linux等操作系统、网络设备漏洞扫描评估;
支持Oracle、MySQL、MSSQL、DB2、Informix、Sybase等主流数据库;
支持主流WEB应用类型,包括国内外CMS;
集成0day快速检测功能,实时获取安恒风暴中心的0day策略。
3.灵活、丰富的漏洞验证取证
对于存在注入攻击防护的网站,可通过灵活的配置绕过防护;
在网站访问质量很差的情况,可调整参数获取数据。
4.可扩展工具集
内置数十款常用渗透工具,支持一键Getshell,同时可自定义工具集。
5.强大的渗透管理
可生成专业的渗透报告,供渗透测试管理等安管平台统一分析管理。
6.全面、成熟的在线知识库
专业的研究安全团队实时更新,依托安恒信息多年的漏洞知识库积累,用户可通过安全知识库功能在线学习最新漏洞知识和渗透技巧,以满足最新的漏洞掌握和对渗透知识的不断学习。
典型客户
行业
典型客户
国家级/部级
水利部水利信息中心
电力能源
广东电力科学研究院智能电网所
公安
宁波市公安局、金华市公安局、公安部第一研究所、杭州市公安局、来宾市公安局、广州市公安局
军工
武汉三江航天网络通信有限公司、军工保密资格审查认证中心、国防科技工业局信息中心
测评机构
珠海南方软件网络评测中心、上海市信息安全测评认证中心、天津经信委测评中心、中国金融电子化公司
其他
七四六单位、中电长城网际系统应用有限公司、华创集团(香港)有限公司(Hua Chuang Group(HK)Ltd)
