logo 渗透测试服务_北京华清信安科技有限公司
验证码

首页 > TDR服务体系

渗透测试服务

渗透测试是一种合法的,经过授权的,定位于企业网络及应用系统,并对其成功实施漏洞扫描或攻击,找出企业网络和系统的安全薄弱环节的一种专业安全服务。渗透测试过程主要依据安全专家已经掌握的安全漏洞信息,模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。

黑客的攻击入侵需要利用目标网络的安全弱点,渗透测试也是同样的道理。它模拟真正的黑客入侵攻击方法,利用各种安全扫描器对网站及相关服务器等设备进行非破坏性质的模拟入侵者攻击,目的是侵入系统并获取系统信息并将入侵的过程和细节总结编写成测试报告,由此确定存在的安全威胁,并及时提醒客户技术人员完善安全策略,降低安全风险。

华清信安为用户提供渗透测试服务时,将采用工具扫描和人工渗透测试相互补充的方式更好的服务用户。工具扫描具有很好的效率和速度,但是存在一定的误报率,不能发现高层次、复杂的安全问题,因此需要专业安全人员进行人工复核。渗透测试对测试者的专业技能要求很高(渗透测试报告的价值直接依赖于测试者的专业技能),通过人工分析、复核,可以发现逻辑性更强、更深层次的弱点。

华清信安渗透测试服务发现的安全隐患主要涉及如下方面:

1. WEB安全:主要包括SQL注入、跨站脚本、XML外部实体(XXE)注入、CSRF(Cross-Site Request Forgery,跨站点伪造请求)、SSRF(Server-Side Request Forgery:服务器端请求伪造)、任意文件上传、任意文件下载或读取、任意目录遍历、.svn/.git源代码泄露、信息泄露、CRLF注入即“HTTP响应头拆分漏洞”、命令执行注入、URL重定向、Json劫持、第三方组件主要包括Ewebeditor、FCKeditor、Ueditor、JQuery等常用第三方组件、本地/远程文件包含漏洞、任意代码执行、Struts2远程命令执行、Spring远程命令执行、反序列化命令执行等;

2.业务逻辑安全:包括用户名枚举、用户密码枚举、用户弱口令、会话标志固定攻击、平行越权访问、垂直越权访问、未授权访问、验证码缺陷等;

3.中间件安全:包括中间件配置缺陷、中间件弱口令、Webloigc反序列化命令执行、Jboss反序列化命令执行、Websphere反序列化命令执行、Jenkins反序列命令执行、JBoss远程代码执行、文件解析代码执行等;

4.服务器安全:包括域传送漏洞、Redis未授权访问、MangoDB未授权访问、操作系统弱口令、数据库弱口令、本地权限提升、已存在的脚本木马、应用防护软硬件缺陷等。

华清信安渗透测试服务的开展主要分为三个阶段:

图片6.png

渗透阶段具体的实施流程如下:

1611717805299440.png


400-067-1560
  • 公司地址: 北京市朝阳区东大桥8号院SOHO尚都北塔B座10层、20层 (北京总部)
  • 联系电话:400-067-1560
  • Email:contact@hqsec.com
  • 离职员工背景调查(邮箱):hq-hr@hqsec.com
关注我们
Copyright © 北京华清信安科技有限公司 2023 京工信ICP备16018918号-1