榕基软件融合优势技术打造新型Web检测系统

　　?随着Web技术在客户和服务端的广泛利用，黑客越来越倾向于对Web应用的攻击。虽然Web应用层受袭频仍，但其相应的防护技术也在持续升级。日前，信息安全领域知名企业榕基软件完成其原有Web应用安全评估系统的更新换代，研发出榕基WEB隐患扫描系统，新系统融合榕基软件自主研发的漏洞扫描技术，结合行业技术发展趋势，功能较旧者有大幅提升。

　　自棱镜事件曝光后，信息安全问题一直牵绊着社会神经。根据 Gartner的调查，信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。虽然Web 应用层已成为黑客的主攻地带，但当前许多单位却将大量的投资花费在网络和服务器上，对Web 应用层关注不足，从而给黑客以可乘之机。目前Web攻击软件工具在网上较易找到，且技术也容易掌握，致使Web应用层极易受到黑客攻击。

　　在榕基WEB隐患扫描系统研发上，榕基软件将该系统扫描引擎分离成爬虫引擎、漏洞检测引擎及调度引擎，实现引擎智能调度，同时融入渗透测试取证技术。榕基软件信息安全研发负责人表示，采用多引擎分离调度技术，可有效降低搭载平台系统开销、充分利用系统资源，同时也可提高产品的扫描效率和系统稳定性；通过应用爬虫引擎，可对被检测站点进行深度内容分析，检测网站是否存在跨站脚本、SQL注入、Xpath注入等漏洞，并全面支持OWASP TOP 10；在渗透能力方面，该系统能通过发现的弱点并进行渗透测试取得弱点存在的直接证据，确保最终报告风险漏洞存在的不可抵赖性。

　　榕基软件在信息安全领域有十余年耕耘历史，凭借多年的网络安全产品研发沉淀和技术积累，该公司安全专家团队研发出榕基网络隐患扫描系统（简称RJ-iTop）、榕基入侵检测系统、榕基风险管理系统等多款信息安全产品，其中RJ-iTop是国内信息安全漏洞管理细分领域龙头产品，目前在政府、军队、金融、政法、教育、科研等领域2000多家单位得到应用。

　　榕基WEB隐患扫描系统融合了榕基软件多年的信息安全研发经验。例如引入了RJ-iTop网络隐患扫描的优势技术，通过应用漏洞检测引擎，可以根据应用漏洞知识库，进行网络端口扫描、网络服务安全检测及应用服务弱点检测。该系统应用漏洞知识库，集成十九大类实践性方法，可检测的应用漏洞数量超过1000条，能对网络应用安全进行扫描分析，基本上覆盖了目前应用服务系统存在的主要弱点和漏洞，具有强大的扫描分析能力。

　　榕基软件信息安全研发负责人表示，如果把对被检测站点进行深度内容分析的爬虫式检测看成动态的, 那么按漏洞规则库对Web服务进行的网络隐患扫描是静态的。榕基软件应用自有的网络隐患扫描技术，使榕基WEB隐患扫描系统在Web应用弱点检测能力得到增强，具有动、静态双重检测的能力，可为政府部门，金融、运营商、能源、等级保护测评机构等企事业单位提供优质的安全风险评估和主动防御服务。