<video id="mfngb"></video>


  • 行業動態

    智能網聯汽車行業安全解決方案

    2019-01-16 16:24:18 223

     滲透測試服務介紹

    滲透測試服務是為企業客戶提供的一種信息系統安全檢測服務。通過對被對象及相關服務器等設備,進行非破壞性質的模擬入侵者攻擊,模擬侵入系統并獲取系統權限,并將入侵過程和細節總結編寫成測試報告,由此確定存在的安全威脅,及時提醒企業客戶完善安全策略,降低安全風險。

    1)測試內容

    序號

    服務內容

    內容描述

    1

    信息收集

    通過對網絡信息收集分析,可以相應地、有針對性地制定模擬黑客入侵攻擊的計劃,以提高入侵的成功率、減小暴露或被發現的幾率。

    2

    端口掃描

    通過對目標地址的 TCP/UDP 端口掃描,確定其開放的服務數量和類型。通過端口掃描,可以基本確定一個系統的基本信息,并且結合測試人員的經驗可以確定其可能存在,以及被利用的安全弱點,為進行深層次的滲透提供依據。

    3

    權限提升

    通過獲取本地權限,收集本地資料信息,尋求本地權限升級的機會。通過對信息收集分析、權限升級的結果輸出整個滲透測試過程。

    4

    不同網段/Vlan之間的滲透

    這種滲透方式是從某內/外部網段,嘗試對另一網段/Vlan 進行滲透。

    5

    Web應用測試

    1、檢查應用系統架構,防止用戶繞過系統直接修改數據庫;

    2、檢查身份認證模塊,防止非法用戶繞過身份認證;

    3、檢查數據庫接口模塊,防止用戶獲取系統權限;

    4、檢查文件接口模塊,防止用戶獲取系統文件;

    5、檢查其他安全威脅。

    6

    檢測頁面隱藏字段

    網站應用系統常采用隱藏字段存儲信息,有不良居心的用戶通過操作隱藏字段內容,進行惡意交易和竊取信息等行為,是一種非常危險的漏洞。

    7

    代碼審查

    對受測業務系統站點進行安全代碼審查,識別出會導致安全問題和事故的不安全編碼技術和漏洞。

    8

    后門程序檢查

    系統開發過程中遺留的后門和調試選項可能被入侵者所利用,導致入侵者輕易地從捷徑實施攻擊。

    9

    溢出測試(未明確授權不會進行此項測試)

    當測試人員無法直接使用帳戶口令登陸系統時,也會采用系統溢出的方法直接獲得系統控制權限,此方法有時會導致系統死機或重新啟動,但不會導致系統數據丟失,如出現死機等故障,只需將系統重新啟動并開啟原有服務即可。

    10

    其他測試

    在滲透測試中還需要借助暴力破解、網絡嗅探等其他方法,來嘗試獲取用戶名及密碼。

    2)測試方式

      人工模擬測試

    測試人員模擬真正的入侵者入侵攻擊方法,以人工滲透為主,使用攻擊工具為輔助,以保證整個滲透測試過程都在可以控制和調整的范圍之內,同時確保對網絡沒有造成破壞性的損害。

      確保系統完整性

    由于采用可控制的、非破壞性質的滲透測試,因此不會對被評估的客戶信息系統造成嚴重的影響。在滲透測試結束后,客戶信息系統將基本保持一致。

    3)服務流程

    807e16ddf7dab08d19e36f55765a728b.png


    oidgrαnny日本老熟妇,freemovies性中国china,水萝拉日语中字在线,亚洲美利坚色在线观看 网站地图