专业安全服务,为您的业务保驾护航
遵循国家质量监督检验检疫总局和国家标准化管理委员会联合发布的相关标准,对测试范围与目的、方法与流程、技术与工具以及报告与修复建议等方面作出规范。同时参考国际上如 OWASP(Open Web Application Security Project)等权威组织发布的安全标准与指南。
针对 Web 应用程序,依据 OWASP 十大 Web 漏洞及最新漏洞信息,模拟黑客攻击,检测注入漏洞、跨站脚本、身份验证与授权缺陷等安全问题。
从外部网络模拟对内部一无所知的攻击者行为,对网络设备远程攻击、测试口令管理安全性、试探及规避防火墙规则、检测 Web 及其他开放应用服务安全性。
渗透测试人员从内部网络发起测试,模拟企业内部违规操作者行为,绕过防火墙保护,检测内部网络安全。
对移动应用进行安全性测试,查找代码漏洞、数据存储安全、权限管理等方面问题。
渗透测试覆盖范围与测试维度示意图
渗透测试服务全流程示意图
与客户讨论确定测试范围、目标、限制条件及合同细节,获取正式授权委托书。
利用多种工具和方法,收集目标组织网络拓扑、系统配置与安全防御措施等信息。
对客户公司组织资产分类罗列,分析不同资产价值,确定可行渗透通道。
针对攻击通道关键系统与服务进行安全漏洞探测与挖掘,开发渗透代码。
利用发现的安全漏洞入侵系统,获取访问控制权,必要时进行权限提升。
向客户提交渗透测试报告,包括测试过程、发现的安全漏洞、风险评估及修复建议。