服务咨询

渗透测试

由具备专业资质的渗透测试工程师,通过模拟真实黑客攻击的方式,对目标系统的功能和逻辑,进行全面和专业的漏洞测试,并输出渗透测试专家报告。

服务对象

我们能检测的对象有哪些?

IT设备

服务器、路由器、交换机、存储等IT基础设施设备;

系统软件

操作系统、数据库、中间件、各类应用服务器等基础通用系统;

应用系统

门户网站、OA系统、CRM系统、ERP系统、MES系统等应用系统;

移动应用

苹果APP、安卓APP、小程序、公众号等移动端应用系统;

物联网

智能厨电、安卓设备、嵌入式系统等IOT类物联网系统

服务介绍

服务对象与服务范围

服务覆盖 服务描述
主机系统 通过世界知名的商业漏洞扫描工具对Windows、Linux、Unix、AIX、Solaris等主流操作系统的进行漏洞扫描,检测系统存在的安全漏洞。
中间件 通过人工挖掘的方式检测当前中间件存在的安全隐患,如版本过低存在漏洞、配置不当导致信息泄漏等安全问题。
网络应用 通过漏洞扫描及人工挖掘的方式,根据OWASP提出的安全测试标准对常见的SQL注入、跨站脚本攻击、信息泄露、文件上传等漏洞进行挖掘。
安全策略 测试人员将尝试通过技术手段对现有的网络访问控制、网络攻击防护等安全策略及防护措施行绕过和逃逸,从而确认这些安全防护策略和措施的有效性和可靠性。
业务安全 通过对业务流程、逻辑的梳理,挖掘存在的安全问题,如存在登录认证绕过、支付逻辑漏洞、短信轰炸、未授权访问等安全隐患。

服务流程

service1

信息收集

通过技术手段收集渗透测试范围内信息系统详细信息,包括公开和未公开信息,透测试做准备。

service1

漏洞探测

通过工具扫描、手工探测等方式发现信息系统各层面安全漏洞,并验证漏洞是否可 利用。

service1

重要数据/权限获取

通过搜索文件、数据库、配置文件查找敏感信息,检测是否存在重要敏感信息泄露险,通过权限提升、漏洞利用等手段获取高级权限。

service1

权限提升/内网渗透

通过破解、溢出、注入、代码执行、脚本木马上传等技术获取更高的管理权限;通过代理、端口转发等内网渗透技术扩大渗透范围。

service1

报告编制

总结渗透测试发现的漏洞及危害程度,分析漏洞形成的原因,并提出整改建议,汇总编制渗透测试报告。