安全服務 SECURITY SERVICE
Professional security service.
專業安全服務

滲透測試服務



滲透測試是完全模擬黑客可能使用的攻擊技術和漏洞發現技術,對目標系統的安全做深入的探測,發現系統最脆弱的環節,用來發現信息安全防御體系中漏洞的一種常用方法。


滲透測試服務


服務內容

首先由客戶對滲透測試方案和滲透測試行為進行授權

然后開始對滲透目標進行信息收集,包括網絡、端口/服務、應用等信息的收集

收集目標的信息后,將根據目標存在的漏洞信息進行人工+工具的滲透測試,利用SQL注入,跨站注入等檢測方式獲取目標系統的重要執行權限

隨后對滲透測試實施記錄進行分析整理,向客戶詳細講解、分析問題,同時對測試過程中發現的問題給出相關的安全建議


滲透測試服務


滲透測試利用各種安全掃描器對網站及相關服務器等設備進行非破壞性質的模擬入侵者攻擊,目的是侵入系統并獲取系統信息并將入侵的過程和細節總結編寫成測試報告,由此確定存在的安全威脅,并能及時提醒安全管理員完善安全策略,降低安全風險。滲透目標大致分為以下幾類:

主機操作系統滲透

對Windows、Solaris、AIX、Linux、SCO、SGI等操作系統進行滲透測試。


數據庫系統滲透

對MS-SQL、Oracle、MySQL、Informix、Sybase、DB2等數據庫應用系統進行滲透測試。


應用系統滲透

對滲透目標提供的各種應用,如ASP、CGI、JSP、PHP等組成的WWW應用進行滲透測試。


網絡設備滲透

對各種防火墻、入侵檢測系統、網絡設備進行滲透測試。


內網測試

內網測試指的是測試人員從內部網絡發起測試,這類測試能夠模擬內部違規操作者的行為。最主要的“優勢”是繞過了防火墻的保護。內部主要可能采用的滲透方式:遠程緩沖區溢出,口令猜測,以及B/S或C/S應用程序測試(如果涉及C/S程序測試,需要提前準備相關客戶端軟件供測試使用)。


外網測試

外網測試指的是測試人員完全處于外部網絡(例如撥號、ADSL或外部光纖),模擬對內部狀態一無所知的外部攻擊者的行為。包括對網絡設備的遠程攻擊,口令管理安全性測試,防火墻規則試探、規避,Web及其它開放應用服務的安全性測試。


滲透測試過程中可能對業務產生影響,可以采取以下措施來減小風險:

1、?在滲透測試中不使用含有拒絕服務的測試策略

2、?滲透測試時間盡量安排在業務量不大的時段,避開業務高峰期

3、?在滲透測試過程中如果出現被評估系統沒有響應的情況,應當立即停止測試工作,與用戶相關人員一起分析情況,在確定原因后,并待正確恢復系統,采取必要的預防措施(比如調整測試策略等)之后,才可以繼續進行

4、?測試人員會與用戶網站系統和安全管理人員保持良好溝通,隨時協商解決出現的各種難題

5、?由滲透測試方對本次測透測試過程中的三方面數據進行完整記錄:操作、響應、分析,最終形成完整有效的滲透測試報告提交給用戶


服務價值

對信息安全系統整體進行了一次“實戰演練”,在實戰中鍛煉安全維護團隊應變的能力

系統評估了業務系統在技術與運維方面的實際水平,管理者清楚了目前的防御體系可以抵御什么級別的入侵攻擊

發現安全管理與系統防護中的漏洞,可以有針對性地進行加固與整改

若定期進行滲透測試服務,不僅可以逐步提高系統安全的防御能力,而且可以保持管理人員的警覺性,增強防范意識




Copyright ?2018 西安交大捷普網絡科技有限公司 陜ICP備18022218號-1
犀牛云提供企業云服務
大猩猩领土电子