渗透测试服务

一 服务简介

渗透性测试是对业务系统的安全情况最客观、最直接的评估方式，以模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试。目的是检测业务系统是否存在漏洞，并利用漏洞获取系统控制权或

特定信息，并将测试的过程和细节生成报告给用户，渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高(渗透测试报告的价值直接依赖于测试者的专业技能)，但是非常准确可以发现逻辑性更强更深层次的弱点，由此证实用户系统所存在的安全威胁和风险，并能及时提醒安全管理员完善安全策略.

二 服务特色

1、建立完善风险规避与责任追査体系，确保测试的安全准确;

2、提供详实的扫描资料、数据分析、渗透取证、整改建议等文档

3、模拟入侵者攻击手段提升客户安全人员安全事件应急处置能力

4、在入侵者对客户信息系统发起攻击前封堵可能被利用的攻击途径

5、安全的并有针对性的对检测出的高危风,险及漏洞进行加固

6、渗透测试团队成员接受专业培训并与民间黑客团体对抗演练，沉淀了丰富的测试经验。

三 测试内容

1、漏洞扫描                     

2、系统结构分析                     

3、隐藏文件探测          

4、备份文件探测          

5、用户名和密码猜解          

6、错误信息挖掘

7、跨站脚本漏洞挖掘

8、SQL注入漏洞挖掘

9、越权访问

10、任意文件读取漏洞

11、目录遍历漏洞检测 

12、功能滥用漏洞

13、命令执行漏洞  

14、跨站请求伪造漏洞

15、文件包含漏洞

16、WEBSHELL检测

17、组件泄露漏洞

18、信息泄露漏洞

四 测试方法及服务方式

1、检测评估

1)测试人员可以通过正常渠道向被测单位取得各种资料;

2)测试目的是模拟企业内部雇员的越权操作;

3)通常包括从组织外部和内部两种地点进行渗透测试。

2、黑盒测试

1)除测试目标已知公开信息外，不提供任何其他信息;

2)最初获取来自DNS、WEB、EMAIL公开对外的服务器;

3)测试人员通常只从组织的外部进行渗透测试。

2、隐蔽测试

1)隐秘是针对被测用户单位而言的;

2)隐秘测试中被测单位仅有极少数人知晓测试的存在;

3)检验单位中信息安全事件监控、响应、恢复是否到位;

4)测试人员通常从组织的外部进行渗透测试。

五 服务流程