国内7*24免费咨询热线:400-178-5581

安全服务

渗透测试服务

渗透测试服务是为企业客户提供的一种信息系统安全检测服务。通过对网站及相关服务器等设备,进行非破坏性质的模拟入侵者攻击,模拟侵入系统并获取系统权限,并将入侵过程和细节总结编写成测试报告,由此确定存在的安全威胁,及时提醒企业客户完善安全策略,降低安全风险。

服务内容

服务内容 内容描述
信息收集 通过对网络信息收集分析,可以相应地、有针对性地制定模拟黑客入侵攻击的计划,以提高入侵的成功率、减小暴露或被发现的几率。
端口扫描 通过对目标地址的 TCP/UDP 端口扫描,确定其开放的服务数量和类型。通过端口扫描,可以基本确定一个系统的基本信息,并且结合测试人员的经验可以确定其可能存在,以及被利用的安全弱点,为进行深层次的渗透提供依据。
权限提升 通过获取本地权限,收集本地资料信息,寻求本地权限升级的机会。通过对信息收集分析、权限升级的结果输出整个渗透测试过程。
不同网段/Vlan之间的渗透 这种渗透方式是从某内/外部网段,尝试对另一网段/Vlan 进行渗透。
Web应用测试 1、检查应用系统架构,防止用户绕过系统直接修改数据库;
2、检查身份认证模块,防止非法用户绕过身份认证;
3、检查数据库接口模块,防止用户获取系统权限;
4、检查文件接口模块,防止用户获取系统文件;
5、检查其他安全威胁。
检测页面隐藏字段 网站应用系统常采用隐藏字段存储信息,有不良居心的用户通过操作隐藏字段内容,进行恶意交易和窃取信息等行为,是一种非常危险的漏洞。
代码审查 对受测业务系统站点进行安全代码审查,识别出会导致安全问题和事故的不安全编码技术和漏洞。
后门程序检查 系统开发过程中遗留的后门和调试选项可能被入侵者所利用,导致入侵者轻易地从捷径实施攻击。
溢出测试(未明确授权不会进行此项测试) 当测试人员无法直接使用帐户口令登陆系统时,也会采用系统溢出的方法直接获得系统控制权限,此方法有时会导致系统死机或重新启动,但不会导致系统数据丢失,如出现死机等故障,只需将系统重新启动并开启原有服务即可。
其他测试 在渗透测试中还需要借助暴力破解、网络嗅探等其他方法,来尝试获取用户名及密码。

测试方式

人工模拟测试
测试人员模拟真正的入侵者入侵攻击方法,以人工渗透为主,使用攻击工具为辅助,以保证整个渗透测试过程都在可以控制和调整的范围之内,同时确保对网络没有造成破坏性的损害。
确保系统完整性
由于采用可控制的、非破坏性质的渗透测试,因此不会对被评估的客户信息系统造成严重的影响。在渗透测试结束后,客户信息系统将基本保持一致。

服务流程