行业动态

智能网联汽车行业安全解决方案

2019-01-16 16:24:18 224

 渗透测试服务介绍

渗透测试服务是为企业客户提供的一种信息系统安全检测服务。通过对被对象及相关服务器等设备,进行非破坏性质的模拟入侵者攻击,模拟侵入系统并获取系统权限,并将入侵过程和细节总结编写成测试报告,由此确定存在的安全威胁,及时提醒企业客户完善安全策略,降低安全风险。

1)测试内容

序号

服务内容

内容描述

1

信息收集

通过对网络信息收集分析,可以相应地、有针对性地制定模拟黑客入侵攻击的计划,以提高入侵的成功率、减小暴露或被发现的几率。

2

端口扫描

通过对目标地址的 TCP/UDP 端口扫描,确定其开放的服务数量和类型。通过端口扫描,可以基本确定一个系统的基本信息,并且结合测试人员的经验可以确定其可能存在,以及被利用的安全弱点,为进行深层次的渗透提供依据。

3

权限提升

通过获取本地权限,收集本地资料信息,寻求本地权限升级的机会。通过对信息收集分析、权限升级的结果输出整个渗透测试过程。

4

不同网段/Vlan之间的渗透

这种渗透方式是从某内/外部网段,尝试对另一网段/Vlan 进行渗透。

5

Web应用测试

1、检查应用系统架构,防止用户绕过系统直接修改数据库;

2、检查身份认证模块,防止非法用户绕过身份认证;

3、检查数据库接口模块,防止用户获取系统权限;

4、检查文件接口模块,防止用户获取系统文件;

5、检查其他安全威胁。

6

检测页面隐藏字段

网站应用系统常采用隐藏字段存储信息,有不良居心的用户通过操作隐藏字段内容,进行恶意交易和窃取信息等行为,是一种非常危险的漏洞。

7

代码审查

对受测业务系统站点进行安全代码审查,识别出会导致安全问题和事故的不安全编码技术和漏洞。

8

后门程序检查

系统开发过程中遗留的后门和调试选项可能被入侵者所利用,导致入侵者轻易地从捷径实施攻击。

9

溢出测试(未明确授权不会进行此项测试)

当测试人员无法直接使用帐户口令登陆系统时,也会采用系统溢出的方法直接获得系统控制权限,此方法有时会导致系统死机或重新启动,但不会导致系统数据丢失,如出现死机等故障,只需将系统重新启动并开启原有服务即可。

10

其他测试

在渗透测试中还需要借助暴力破解、网络嗅探等其他方法,来尝试获取用户名及密码。

2)测试方式

  人工模拟测试

测试人员模拟真正的入侵者入侵攻击方法,以人工渗透为主,使用攻击工具为辅助,以保证整个渗透测试过程都在可以控制和调整的范围之内,同时确保对网络没有造成破坏性的损害。

  确保系统完整性

由于采用可控制的、非破坏性质的渗透测试,因此不会对被评估的客户信息系统造成严重的影响。在渗透测试结束后,客户信息系统将基本保持一致。

3)服务流程

807e16ddf7dab08d19e36f55765a728b.png


女生宿舍2,特级欧美午夜aa片,亚洲黄色网,黄色高清三级带 网站地图