渗透测试服务
服务简介
渗透测试是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全作深入的探测,发现系统最脆弱的环节,能够直观的让管理人员知道自己业务及网络所面临的问题。需求场景
◈ 满足合规监管,避免发生安全事件被监管/主管单位通报◈ 做了等保解决方案。
测试内容
| 测试大类 | 测试项 | 测试目的 |
| 身份验证类 | 用户注册、登录 | 检查用户注册、登录功能可能涉及的安全问题 |
| 修改密码 | 检查用户修改密码功能可能涉及的安全问题 | |
| 验证码绕过 | 检测验证码机制是否合理,是否可以被绕过 | |
| 用户锁定功能 | 测试用户锁定功能相关的安全问题 | |
| 会话管理类 | Cookie重放攻击 | 检测目标系统是否仅依靠cookie来确认会话身份,从而易受到cookie回放攻击 |
| 会话令牌分析 | Cookie具有明显含义,或可被预测、可逆向,可被攻击者分析出cookie结构 | |
| 跨站请求伪造 | 检测目标系统是否存在CSRF漏洞 | |
| 访问控制类 | 功能滥用 | 测试目标系统是否由于设计不当,导致合法功能非法利用 |
| 垂直权限提升 | 测试可能出现垂直权限提升的情况 | |
| 水平权限提升 | 测试可能出现水平权限提升的情况 | |
| 输入处理类 | SQL注入 | 检测目标系统是否存在SQL注入漏洞 |
| 文件上传 | 检测目标系统的文件上传功能是否存在缺陷 ,导致可以上传非预期类型和内容的文件 | |
| 任意文件下载 | 检测目标系统加载/下载文件功能是否可以造成任意文件下载问题 | |
| XML注入 | 测试目标系统-是否存在XML注入漏洞 | |
| 信息泄露类 | error code | 测试目标系统的错误处理能力,是否会输出详尽的错误信息 |
| Stack Traces | 测试目标系统是否开启了Stack Traces 调试信息 |
服务价值
· 明确安全隐患(模拟黑客的入侵,从外部整体切入最终落至某个威胁点并加以利用,最终对整个网络产生威胁,以此明确整体系统中的安全隐患点);· 提高安全技能(在测试人员与用户的交互过程中,可提升用户的技能。另外,通过专业的渗透测试报告,也能为用户提供当前流行安全问题的解决思路)。