• 鼎鉉商用密碼測評技術(深圳)有限公司
    0755-89669007

    項目概況

    通過模擬黑客的思維和攻擊手段,對計算機業務系統的弱點、技術缺陷和漏洞進行探查評估。經過客戶授權后,在不影響業務系統正常運行的條件下,滲透人員在黑客可能的不同的位置,采取可控的方法、手段和工具,對某個特定業務系統進行主動分析和測試,發現和挖掘業務系統中存在的弱點、技術缺陷或漏洞,然后輸出滲透測試報告,并提交給業務系統所有者。業務系統所有者根據滲透人員提供的滲透測試報告,可以清晰知曉業務系統中存在的安全隱患和問題,是計算機業務系統信息安全防范的一種新技術,對于信息安全保障具有實際應用價值。


    參考依據

    國際滲透測試規范《OWASP WEB應用十大安全風險》(2017版)

    國際滲透測試規范(OSSTMM)

    國際滲透測試標準《PTES滲透測試標準》

    國內滲透測試規范《WEB應用安全測試規范》

    國內滲透測試技術標準《中國滲透測試知識庫》


    滲透內容

    商用密碼應用安全性評估主要從總體要求、物理和環境、網絡和通信、設備和計算、應用和數據、密鑰管理以及安全管理七個方面進行評估。

    1. Web安全滲透測試

    通過對自動化檢測結果的驗證,結合測試人員的經驗深度挖掘漏洞,和人自身的邏輯識別能力挖掘某些邏輯錯誤,全方面評估Web應用系統的安全。


    序列號

    測試項

    1

    注入漏洞

    2

    失效的身份認證和會話管理

    3

    敏感信息泄露

    4

    XML外部實體(XXE)

    5

    失效的訪問控制

    6

    安全配置錯誤

    7

    跨站腳本XSS

    8

    不安全的反序列化

    9

    使用含有已知漏洞的組件

    10

    不足的日志記錄和監控

    11

    跨站請求偽造(CSRF

    12

    未受保護的APIs

    13

    攻擊檢測防御不足

    14

    關鍵業務邏輯測試

    2. App安全滲透測試

    App應用將會面臨內容安全、計費安全、客戶信息安全、業務邏輯等方面的挑戰。隨著自主開發的移動APP越來越多,其中的安全性將面臨越來越多的挑戰。

    序列號

    測試項

    Android應用客戶端

    iOS應用客戶端

    1

    移動客戶端安全

    移動客戶端安全

    2

    組件安全

    敏感信息安全

    3

    敏感信息安全

    密碼軟鍵盤、手勢安全

    4

    數據存儲安全

    安全策略

    5

    密碼軟鍵盤、手勢安全

    保護機制

    6

    安全策略

    通信安全

    7

    通信安全

    業務安全

    8

    業務安全

    3. 小程序安全滲透測試

    APP應用提供的框架、組件、API及工具在一定程度上保障了小程序的安全性,但由于開發者的安全意識不足,一些Web中的安全漏洞在小程序中仍然會存在,產生安全風險。

    序列號

    測試項

    1

    注入漏洞

    2

    越權訪問漏洞

    3

    文件上傳漏洞

    4

    跨站請求偽造漏洞(CSRF

    5

    跨站XSS漏洞

    6

    敏感信息泄露

    7

    安全配置錯誤

    8

    用戶、管理員身份認證缺陷

    9

    非授權訪問

    10

    使用存在漏洞的組件

    11

    數據傳輸、存儲安全

    12

    動態保護

    13

    代碼保護

    4. PC客戶端(CS架構)滲透測試

    PC客戶端,即CS架構,有豐富功能的GUI,開發語言有C#(.NET)、JAVA、DELPHI、C、C++等,協議有TCP、HTTP(S)、TDS等,數據庫有oracle、mssql、db2等;

    序列號

    測試項

    1

    逆向工程

    2

    信息泄露

    3

    密碼明文傳輸

    4

    用戶名枚舉

    5

    SQL注入

    6

    CSV注入

    7

    弱口令

    8

    命令執行

    9

    邏輯缺陷

    10

    DLL劫持

    11

    授權認證缺陷

    12

    溢出漏洞

    測試方法

    測試方法包括黑盒測試、白盒測試、灰盒測試、人工測試、工具掃描、漏洞驗證、漏洞演示、橫向滲透、縱向滲透等。

    測試流程

              計劃準備:需求調研、溝通與培訓、目標和范圍、項目計劃

    滲透實施:信息收集、信息分析、漏洞探測、漏洞驗證、漏洞利用

    評估與解決:風險評估總結、安全現狀報告、安全解決方案

    報告輸出:報告編寫、報告審核、提交報告、

    Copyright © 2017-2021 鼎鉉商用密碼測評技術(深圳)有限公司 版權所有 粵ICP備2021140434號-1
    av私库在线久久草 大香蕉久久草av 大香蕉伊人久久草av 姐妹综合久久欧美 久久视频手机免费播放 久久手机视频在线精品 久久热视频在线观看九 久久视频福利在线下载 久久热爱视频精品福利 久久caozai线视频精品 爱久久视频在线看 久久福利视频在线观看 免费视频在线观看爱久久