长亭科技洞鉴X-Ray安全评估系统_漏洞扫描系统

申请试用

长亭科技洞鉴X-Ray安全评估系统

洞鉴（X-Ray）是一款从资产视角出发，集Web漏洞扫描、主机服务漏洞扫描、基线合规检查于一体，同时可以实现资产和漏洞双闭环管理的安全评估系统。

立即咨询

首页 > 产品中心 > 网络安全 > 长亭科技洞鉴X-Ray安全评估系统

场景化分析

检查需求
能够针对主机和web层面进行常规和专项的漏洞检查

事件处置
能够针对已知和未知的资产风险提供闭环处置手段

安全运维
需具备自动化数据分析，减少运维工作量

满足合规
满足国家、监管、行业对政企用户漏洞风险的建设要求

简单易用
需求适配已有的第三平台接入方便操作

长亭洞鉴让您漏洞无忧 icon

洞鉴（X-Ray）是一款从资产视角出发，集Web漏洞扫描、主机服务漏洞扫描、基线合规检查于一体，同时可以实现资产和漏洞双闭环管理的安全评估系统。

全面覆盖

主动服务检测漏洞智能爬虫爬取检查

代理、镜像、日志、消息队列被动检查特殊网站框架检测

自动智能

自适应动态调度策略语义分析自启发式漏洞检测

盲打平台自动验证无回显漏洞检测

快速精准

新型爬虫提高目标网站URL发现率

通用漏洞插件提高检测效率多元化检测减少误报率

有效闭环

资产风险闭环处置

漏洞风险闭环处置

架构设计

洞鉴产品业务流程图

业务功能

常规漏洞检查
对内外网资产梳理及系统漏洞、web漏洞、系统配置的漏洞检测

专项漏洞检查
对弱口令、国产化、虚拟化、重大保障时期检测

风险闭环处置
能够针对对资产风险和漏洞风险进行闭环处置

安全运维简单
扫描策略/报表运维/用户运维/知识库/系统升级/Nday

有效安全保障
备份恢复/操作日志/高可用灾备

产品使用方便
满足适配已有的第三平台接入需求

业务能力1_常规漏洞检查 icon

资产梳理

对用户内外网的操作系统、应用组件、设备类型等进行探测，实时准确了解自己的所辖网络中资产、应用的基本情况。

产生影响

服务器的操作系统、运行服务以及相关软件版本情况无从知晓？全网设备型号、设备厂商以及所开启的服务？Web 应用类型、版本号、存在的漏洞信息？新漏洞爆发后，何如了解影响的范围？如何掌握特定设备（如工控设备、摄像头等）分布情况？如何对特定的漏洞进行有效的验证？

业务能力1_常规漏洞检查 icon

常规漏洞

主机漏洞：应用软件或操作系统软件在逻辑设计上的缺陷或错误，Web漏洞:网站程序上的漏洞，可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞，常见的WEB漏洞有SQL注入、XSS漏洞、任意文件上传漏洞等。

产生影响

主机/web的漏洞被不法者利用，通过网络植入木马、病毒等方式来攻击或控制整个电脑/网站，窃取电脑中的重要资料和信息，甚至破坏系统及获取网站服务器权限。

业务能力1_常规漏洞检查 icon

业务能力2_专项漏洞检查 icon

业务能力2_专项漏洞检查 icon

支持新型领域的漏洞扫描

虚拟化扫描模块：虚拟化容器等新型领域逃逸，包括QEMU、KVM、Docker、VMware ESXi、全球首个VMware逃逸技术等。物联网扫描模块：物联网、网络设备远程破解、包括VPN、防火墙、路由器、摄像头、智能门锁、远程会议系统等。大数据组件扫描模块：支持扫描Hadoop、Hbase、Kafka等大数据组件。国产化扫描模块：国产化系统相关漏洞检测，包括操作系统、中间件、应用系统、数据库、打印机等。API扫描模块：通过主动以及被动Swagger、日志等方式对API进行发现和漏洞的探测。并且对敏感信息进行发现收集，保护数据安全。

业务能力2_专项漏洞检查 icon

重保专有漏洞库系统内置中高危漏洞插件

设置组织单位分区导入/录入被检查的目标IP资产

启用重保专有漏洞库扫描策略（支持自定义）

基于主机/Web进行深度扫描，定位风险

验证资产漏洞风险，进行加固

周期复测，保证漏洞已修复

业务能力3_风险闭环处置 icon

资产视角不同维度综观资产风险性实时变动一目了然风险资产实时统计管理员追踪漏洞修复全过程（待分配、待验证、待修复、待复核、已验证、忽略、误报），自动统计漏洞修复时间，周期调度自动复查漏洞修复结果，一键快速复测漏洞修复情况。

业务能力3_风险闭环处置 icon

业务能力4_便利安全运维 icon

业务能力4_便利安全运维 icon

细粒度的漏洞知识库查询模式

漏洞名称、漏洞等级、漏洞编号、影响组件、服务类型、操作系统、标签、厂商、需要反连、漏洞类型、影响资产类型、原理扫描、漏洞披露时间

多场景的漏洞知识库分类

权威的漏洞库：CVE/CNVD/CNNVD漏洞

新型漏洞：虚拟化组件漏洞、大数据、物联网

常规漏洞：数据库、中间件、系统组件、网络设备、组件漏洞、web漏洞国产化漏洞

灵活的漏洞知识库自定义模式

自定义POC 自定义指纹

业务能力4_便利安全运维 icon

业务能力5_有效安全保障 icon

业务能力5_有效安全保障 icon

业务能力5_有效安全保障 icon

所有服务均在多节点多容器集群化部署：当某个服务容器不可用时，会自动拉起新容器。当某个节点不可用时，先进行自愈。如无效，会自动切换服务到其它节点。支持数据库主从复制，并支持数据库定期导出：当主数据库节点不可用时，自动进行主从切换。当整个集群出现不可预计的损害之后，可以利用数据库导出的备份，快速搭建新集群并进行数据恢复。

业务能力6_接口横向扩展 icon

产品功能规格

产品规格

产品部署

产品主要荣誉资质

客户价值

资产梳理简单
周期性自动化梳理新增、减少和不变的资产。依据业务需求针对资产进行标签化处理，符合各业务部门需求。

及时发现漏洞
周期性检查主机和web的漏洞风险，可针对国产化、漏洞类型、漏洞编号等多维度的进行漏洞检查。

闭环处置漏洞风险
及时发现资产存在的漏洞风险，定位到责任人进行处理。全生命周期跟进漏洞处置状态，漏洞风险有迹可循。突发漏洞事件及时应急处置。

减少运维成本
需具备自动化多维度数据分析报表，减少运维工作量。具有资产分析、漏洞分析等图标展示，可通过部署形态进行统一下发任务。具备威胁消息通知功能，便于查看安全风险。

满足国家合规
满足国家、监管、行业对政企用户漏洞风险的检查要求。

产品优势1_专业的攻防团队 icon

万人白帽社区
社区结合众测能力，为洞鉴进行技术能力输出，插件内容契合国内安全生态。社区成员10万余人，核心贡献人员占比5%，贡献原理检测插件占比近50%。

漏洞研究团队
持续进行各领域的漏洞研究，漏洞库覆盖CVE、CNNVD、CNVD。提交操作系统、数据库、中间件、打印机四大分类多个高危原创漏洞成果。

顶级安服团队
长亭攻击队每个季度对洞鉴进行全量源码级审计以及渗透测试，降低自身的安全问题，洞鉴漏洞知识库的提供者

洞鉴研发团队
检测引擎研发，将漏洞研究成果转化为产品核心技术，结合社区和安研团队，对插件进行无害化处理，持续提升产品引擎能力。

产品优势2_资产扫描全面 icon

关键技术1: 基于机器学习的智能浏览器新型爬虫技术，提高目标网站 URL 发现率

产品优势2_资产扫描全面 icon

传统登录方式
http登录表单登录证书登录 Cookie登录 Header登录

无法解决问题
特殊网站框架导致无法识别无法登录，验证码、手机短信认证、滑块扫描、等验证问题。

洞鉴解决方案
被动代理：人工登录+人工爬取。登录录制：人工登录+爬虫爬取。agent 录制，解决特殊网站框架导致无法识别无法登录。

产品优势2_资产扫描全面 icon

关键技术3：多种被动扫描方式，保证资产全覆盖

被动扫描方式，与主动扫描相辅相成，应对企业多种使用场景，实现资产全覆盖网站中的“孤岛页面”、企业内部边缘资产系统上线前安全测试不够全面

产品优势2_资产扫描全面 icon

关键技术4：基于代理的被动扫描方式社区开放的扫描模式

自动化探测难以绕过登录验证机制，导致无法扫描登录后的页面

系统上线安全左移，功能测试阶段并行进行安全测试

产品优势2_资产扫描全面 icon

关键技术5：全新探活模式，有效提升资产网络空间测绘的资产发现几准确性

产品优势3_快速精准漏洞扫描 icon

关键技术1： POC原理验证漏洞，创新插件检测技术本质上都是 OGNL 表达式注入，采用统一验证规则进行原理检测，达到事半功倍的检测效果。

产品优势3_快速精准漏洞扫描 icon

产品优势4_自动智能漏洞检测 icon

关键技术1：内置盲打平台，自动验证无回显漏洞

什么是盲打盲注？渗透测试时，安全工程师对目标站点进行注入、上传文件等操作时，Web程序不进行详细的信息回显。

如何判断盲打盲注是否成功？搭建一个盲打平台，注入时加上一条回连盲打平台的命令，在盲打平台上观察测试结果。

产品优势4_自动智能漏洞检测 icon

关键技术2：基于语义分析，自启发式漏洞检测、洞鉴业内首创基于语义分析的 XSS 检测引擎，该引擎发包少，覆盖全面，甚至可以过 WAF以反射型 XSS 检测结果为例（同样的靶场，同样的结果，请求数对比）。（图示为输出点在 JS 上下文的情况)。

产品优势4_自动智能漏洞检测 icon

关键技术3：自适应动态调度，自动化规则编排

产品优势5_风险闭环管理 icon

产品优势6_适应多场景的漏洞扫描能力 icon

产品优势7_快速应急响应能力 icon

产品场景方案1: 漏洞扫描工具 icon

场景需求：精准灵活探测漏洞应对监管检查、等保合规需求

部署模式：采用软件/硬件部署模式

系统对接：洞鉴（X-Ray）提供全功能的API调用接口，可与其他漏扫产品形成异构，统一对接企业内部管理平台

产品功能亮点：模拟浏览器爬虫 PoC原理验证漏洞盲打平台弱口令灵活配置

典型案例（长亭）：中国软件测评中心国网冀北电力全球能源研究院清华大学南开大学湖南省公安公安一所工商银行光大银行华夏银行

产品场景方案2: 资产风险管理场景-私有化部署 icon

场景需求：总部对企业全部资产进行运营，管理平台+多引擎节点基于业务视角，帮助企业客户实现资产风险闭环管理资产碎片化整合、关联；漏洞生命周期追踪

部署模式：采用多节点级联部署模式

系统对接：洞鉴（X-Ray）提供全功能的API调用接口，通过OpenAPI可与其他产品完成对接，实现资产数据或，漏洞数据的相互调用。

产品侧重点： Saas模式、多租户管理能力、未来云建设拓展管理跟踪——“漏洞视角”转向“资产视角” 检测能力——“黑盒”转向“透明” 漏洞处置——“人工跟”转向“自动化”

典型案例（长亭）：中国农业银行无锡农商行华为全球能源互联网研究院

产品场景方案3: 资产风险管理场景-云平台部署 icon

场景需求：辅助企业建设企业云，对云平台资产进行高效集中管控，租户端资产隔离、运营端统一管控

部署模式：采用软件模式部署，多租户账户体系深度融合，云平台上一键自动化部署。轻量级部署模式灵活适配各种云平台，实现扫描节点横向无限扩展，纵向资产多级管理。

系统对接：洞鉴（X-Ray）提供全功能的API调用接口，通过OpenAPI可与其他产品完成对接，实现数据的相互调用。

功能侧重点：容器轻量级部署模式监管视角多租户管理权限

典型案例（长亭）：中国建设银行

产品场景方案4:SDLC场景 icon

场景需求：SDLC场景、资产被动采集，安全测试左移、发现未知资产。部署模式：采用软件模式部署，安全人员提供服务器资源即可完成虚拟化部署，无需上线硬件设备，可适配虚拟化或云平台环境。系统对接：洞鉴（X-Ray）提供全功能的API调用接口，通过OpenAPI与客户的DevOps体系完成对接，实现系统上线前的安全检测。功能侧重点：被动扫描模式，通过流量镜像、被动代理、kafka消息队列等各种流量采集方式，与客户场景实际流量灵活对接。典型案例（长亭）：T3出行、云账户、深交所、科大讯飞、江苏银承。