MatriXay 5.0(2011版) 旨在降低WEB应用的风险，使国家利益、社会利益、企业利益乃至个人利益的受损风险降低，广泛适用于“等级保护测评机构、公安、运营商、金融、电力能源、政府、教育”等各领域内的互联网应用、门户网站及内部核心业务系统（如网银、网上营业厅、OSS系统、ERP系统、OA系统等）。

作为公安部等级保护测评中心专用应用安全测评工具，工信部安全中心Web应用安全检查工具，MatriXay 5.0 (2011版) 全面支持OWASP TOP 10检测，可以帮助用户充分了解WEB应用存在的安全隐患，建立安全可靠的WEB应用服务，改善并提升应用系统抗各类WEB应用攻击的能力（如：注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等），协助用户满足等级保护、PCI、内控审计等规范要求。

全面、深度、准确评估WEB应用弱点，有助于提高主动防御能力。

1、支持的WEB应用类型：

2、支持各类认证方式：

3、支持的数据库类型

Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、 Ingres等

4、支持的弱点类型（包含OWASP TOP 10：A1-注入攻击、A2-跨站脚本（XSS）、A3-失效的认证和会话管理：、A4-不安全的直接对象引用、A5-跨站请求伪造、A6-安全配置错误、A7-限制URL访问失败、A8-尚未认证的重定向和转发、A9-不安全的密码储藏、A10-传输层保护不足)。

5、灵活可定义的扫描工作模式：

支持普通扫描模式、命令扫描模式

支持边爬行边检测、先爬行后检测、只爬行网站链接、只检测现有URL等多种扫描方式

扫描方式：简单模式（单个域名）、批量模式（多个域名）

扫描范围：当前URL、当前子域名、当前域名、任何URL

支持无人值守模式下的全自动扫描

工作方式：主动扫描、被动扫描(Proxy)

扫描深度：支持无限扫描深度

扫描过程可以随时中断/恢复，扫描结果实时存储

支持多任务、多线程、多引擎并行扫描

支持扫描例外设置

支持扫描项目文件加密管理

支持配置文件导入和导出

6、深度智能扫描引擎：

全面支持SSL

自动过滤重复页面

自动检测所有参数

支持网页大小写敏感/不敏感

支持所需网页检测类型设置

支持验证码录制功能

7、独有的“取证”模式确保评估结果准确可信

8、直观丰富的统计报表

9、完善的结果趋势分析

10、完备丰富的风险评估报告，支持各类格式输出，并可自定义内容

11、提供横纵向的扫描结果对比

12、安装运行无需第三方软件支持

常见WEB应用攻击影响分析

MatriXay 5.0(2011版)现有涵盖等级保护测评机构、公安、运营商、金融、电力能源、政府、教育等各个领域，使用MatriXay 提升内部和外部应用的整体安全性。

任务设置：扫描结果图：

网络技术日趋成熟，黑客们的注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击;

所有的业务系统（如：营业系统、CBOSS系统、BBOSS系统等等）均采用B/S的架构，致使企业所面临的风险在不断增加;

WEB应用系统是否存在程序漏洞，往往是被入侵后才能察觉，如何在攻击发动之前主动发现Web应用程序漏洞?

主动防御---- 从技术和管理两个层面为某省移动应用安全保驾护航;

利用WEB应用弱点扫描器建设WEB应用安全扫描平台;

将WEB应用弱点扫描、风险评估纳入日常工作流程;

定期检查WEB应用本身的安全性及网页上对外链接的可靠性;

定期培训：黑客攻击技术、安全防范技术、编码规范等多方面的技能培训