渗透测试的价值
发现风险、全面修复
在渗透测试服务中,以攻击视角对所有攻击路径和攻击方式进行全面覆盖。
安全校验、弥补不足
通过渗透测试服务对业务整体安全情况进行挖掘评估,了解当前安全状况,弥补通用信息安全产品的不足。
满足监管要求
信息安全等级保护中要求企业能够识别漏洞,修复漏洞,并具备安全报告。
渗透测试对象
- Web应用系统
对注入、跨站、越权、CSRF、中间件、规避交易、信息泄露、业务等 67 个检测项进行安全检测。
- 微信服务号
对客户端、组件、本地数据、敏感信息、业务等 64 个检测项目进行安全检测。
- 微信小程序
根据小程序的开发特性,在SQL注入、越权访问、文件上传、CSRF以及个人信息泄露等漏洞进行检测,防护衍生的重大危害。
- APP应用系统
对Android、iOS应用进行安全分析,挖掘App存在的安全漏洞,并对安全漏洞进行验证,分析漏洞的安全级别及影响范围。
服务覆盖
- 主机系统通过世界知名的商业漏洞扫描工具对Windows、Linux、Unix、AIX、Solaris等主流操作系统进行漏洞扫描,检测系统存在的安全漏洞。
- 中间件通过人工挖掘的方式检测当前中间件存在的安全隐患,如版本过低存在漏洞、配置不当导致信息泄漏等安全问题。
- 网络应用通过漏洞扫描及人工挖掘的方式,根据OWASP提出的安全测试标准对常见的SQL注入、跨站脚本攻击、信息泄露、文件上传等漏洞进行挖掘。
- 安全策略测试人员将尝试通过技术手段对现有的网络访问控制、网络攻击防护等安全策略及防护措施行绕过和逃逸,从而确认这些安全防护策略和措施的有效性和可靠性。
- 业务安全通过对业务流程、逻辑的梳理,挖掘存在的安全问题,如:存在登录认证绕过、支付逻辑漏洞、短信轰炸、未授权访问等安全隐患。
服务内容
漏洞挖掘
通过人工及工具相结合的方式挖掘渗透对象中存在的安全漏洞并进行验证。
渗透报告
安全专家根据渗透测试结果编写渗透测试报告,内容包括漏洞描述、漏洞危害等级、漏洞验证过程、漏洞修复建议等。
修复指导
安全专家对渗透测试报告内容进行专业的解读,并提供轻量级的安全咨询服务,协助客户高效的修复漏洞。
回归测试
漏洞修复完成后,对修复结果进行有效性验证,检验漏洞的修复成果,更新并发送回归测试报告。
服务流程
项目启动会
渗透测试调研
制定渗透测试 方案
渗透测试授权
输出回归测试 报告
回归测试
输出渗透测试 报告
渗透测试实施
我们的客户
老凤祥
获得客户授权的前提下,安全工程师通过真实模拟黑客使用的工具、分析方法进行模拟攻击,找出系统风险点,并给出安全整改建议。
新夏晖
发现应用中影响业务正常运行、导致敏感信息泄露、造成损失的漏洞,安全专家针对漏洞产生的原因进行分析,提出修复建议,以防御恶意攻击者的攻击。
家乐福
帮助客户找出系统中的安全漏洞,并进行漏洞修复,评估修复方案,提供优化方案,保障客户系统的安全性。
400-821-7070
安畅公众号
联系我们
切换至电脑版