• <nav id="wkowa"><strong id="wkowa"></strong></nav>
  • <menu id="wkowa"></menu>
  • <xmp id="wkowa">
    鼎鉉商用密碼測評技術(深圳)有限公司
    0755-89669007

    項目概況

    通過模擬黑客的思維和攻擊手段,對計算機業務系統的弱點、技術缺陷和漏洞進行探查評估。經過客戶授權后,在不影響業務系統正常運行的條件下,滲透人員在黑客可能的不同的位置,采取可控的方法、手段和工具,對某個特定業務系統進行主動分析和測試,發現和挖掘業務系統中存在的弱點、技術缺陷或漏洞,然后輸出滲透測試報告,并提交給業務系統所有者。業務系統所有者根據滲透人員提供的滲透測試報告,可以清晰知曉業務系統中存在的安全隱患和問題,是計算機業務系統信息安全防范的一種新技術,對于信息安全保障具有實際應用價值。


    參考依據

    國際滲透測試規范《OWASP WEB應用十大安全風險》(2017版)

    國際滲透測試規范(OSSTMM)

    國際滲透測試標準《PTES滲透測試標準》

    國內滲透測試規范《WEB應用安全測試規范》

    國內滲透測試技術標準《中國滲透測試知識庫》


    滲透內容

    商用密碼應用安全性評估主要從總體要求、物理和環境、網絡和通信、設備和計算、應用和數據、密鑰管理以及安全管理七個方面進行評估。

    1. Web安全滲透測試

    通過對自動化檢測結果的驗證,結合測試人員的經驗深度挖掘漏洞,和人自身的邏輯識別能力挖掘某些邏輯錯誤,全方面評估Web應用系統的安全。


    序列號

    測試項

    1

    注入漏洞

    2

    失效的身份認證和會話管理

    3

    敏感信息泄露

    4

    XML外部實體(XXE)

    5

    失效的訪問控制

    6

    安全配置錯誤

    7

    跨站腳本XSS

    8

    不安全的反序列化

    9

    使用含有已知漏洞的組件

    10

    不足的日志記錄和監控

    11

    跨站請求偽造(CSRF

    12

    未受保護的APIs

    13

    攻擊檢測防御不足

    14

    關鍵業務邏輯測試

    2. App安全滲透測試

    App應用將會面臨內容安全、計費安全、客戶信息安全、業務邏輯等方面的挑戰。隨著自主開發的移動APP越來越多,其中的安全性將面臨越來越多的挑戰。

    序列號

    測試項

    Android應用客戶端

    iOS應用客戶端

    1

    移動客戶端安全

    移動客戶端安全

    2

    組件安全

    敏感信息安全

    3

    敏感信息安全

    密碼軟鍵盤、手勢安全

    4

    數據存儲安全

    安全策略

    5

    密碼軟鍵盤、手勢安全

    保護機制

    6

    安全策略

    通信安全

    7

    通信安全

    業務安全

    8

    業務安全

    3. 小程序安全滲透測試

    APP應用提供的框架、組件、API及工具在一定程度上保障了小程序的安全性,但由于開發者的安全意識不足,一些Web中的安全漏洞在小程序中仍然會存在,產生安全風險。

    序列號

    測試項

    1

    注入漏洞

    2

    越權訪問漏洞

    3

    文件上傳漏洞

    4

    跨站請求偽造漏洞(CSRF

    5

    跨站XSS漏洞

    6

    敏感信息泄露

    7

    安全配置錯誤

    8

    用戶、管理員身份認證缺陷

    9

    非授權訪問

    10

    使用存在漏洞的組件

    11

    數據傳輸、存儲安全

    12

    動態保護

    13

    代碼保護

    4. PC客戶端(CS架構)滲透測試

    PC客戶端,即CS架構,有豐富功能的GUI,開發語言有C#(.NET)、JAVA、DELPHI、C、C++等,協議有TCP、HTTP(S)、TDS等,數據庫有oracle、mssql、db2等;

    序列號

    測試項

    1

    逆向工程

    2

    信息泄露

    3

    密碼明文傳輸

    4

    用戶名枚舉

    5

    SQL注入

    6

    CSV注入

    7

    弱口令

    8

    命令執行

    9

    邏輯缺陷

    10

    DLL劫持

    11

    授權認證缺陷

    12

    溢出漏洞

    測試方法

    測試方法包括黑盒測試、白盒測試、灰盒測試、人工測試、工具掃描、漏洞驗證、漏洞演示、橫向滲透、縱向滲透等。

    測試流程

              計劃準備:需求調研、溝通與培訓、目標和范圍、項目計劃

    滲透實施:信息收集、信息分析、漏洞探測、漏洞驗證、漏洞利用

    評估與解決:風險評估總結、安全現狀報告、安全解決方案

    報告輸出:報告編寫、報告審核、提交報告、

    Copyright © 2017-2021 鼎鉉商用密碼測評技術(深圳)有限公司 版權所有 粵ICP備2021140434號-1
    午夜福利视频午夜福利1000集福利92午夜福利92国语2019午夜75福利不卡片在线2019年92午夜视频福利国产成人午夜福利在线观看老司机午夜福利免费视频国产午夜福利在线观看视频,午夜福利0855午夜福利国产午夜福利在线观看日本午夜免费福利视频国产成人午夜福利院福利视频(午夜)午夜福利欧美主线路在线看午夜福利片,午夜福利影院国产午夜福利在线播放福利视频午夜欧美午夜福利1000集2019年午夜福利100092免费午夜福利09不卡片在线机视频羞羞午夜福利免费视频午夜福利国产在线观看1,午夜福利不卡片在线播放国语92国语92午夜福利2000午夜福利1000集合集92午夜福利啪啪片中文字幕午夜福利片757福利视频集午夜2019午夜福利合集更新92午夜免费福利757,欧美午夜一区二区福利视频午夜福利看片2019午夜福利不卡片在线2018午夜福利午夜性色福利在线视频亚洲午夜福利在线视频午夜福利免费院午夜福利视频合集1145.