鼎铉商用密码测评技术(深圳)有限公司
0755-89669007

渗透测试介绍

渗透测试是通过模拟黑客的思维和攻击手段,对计算机业务系统的弱点、技术缺陷和漏洞进行探查评估。经过客户授权后,在不影响业务系统正常运行的条件下,渗透人员在黑客可能的不同的位置,采取可控的方法、手段和工具,对某个特定业务系统进行主动分析和测试,发现和挖掘业务系统中存在的弱点、技术缺陷或漏洞,输出渗透测试报告,提交给业务系统所有者。业务系统所有者根据渗透人员提供的渗透测试报告,可以清晰知晓业务系统中存在的安全隐患和问题。是计算机业务系统信息安全防范的一种新技术,对于信息安全保障具有实际应用价值。

测试参考

国际渗透测试标准 OWASPOSSTMM

国际渗透测试流程 PTES

NIST SP 800-53

(银办发〔2018146号)中国人民银行办公厅关于开展支付安全风险专项排查工作的通知

测试对象

客户端应用:检测运行于AndroidiOSWindowsLinux等操作系统的客户端应用的恶意脚本、跨站点等,评估业务、数据、敏感信息的威胁、弱点和漏洞评估。

小程序应用: 检测评估SQL注入、越权访问、文件上传、CSRF以及个人信息泄露等威胁、弱点和漏洞,防护衍生的重大危害。

网页应用服务:检测XSS攻击,SQL注入,身份认证和会话,重定向和转发,CSRF,加解密,中间件,权限与访问控制等威胁、弱点和漏洞。

应用业务系统:检测各行业业务应用系统,评估业务、数据、敏感信息的威胁、弱点和漏洞。

中间件:检测评估IISTomcatNGNIXApache等中间件的威胁、弱点和漏洞。

主机服务:检测评估基于WindowsLinux各种主流操作系统的主机系统服务,数据库应用服务等的威胁、弱点和漏洞。

测试方法

测试方法包括黑盒测试、白盒测试、灰盒测试、人工测试、工具扫描、漏洞验证、漏洞演示、横向渗透、纵向渗透等。

测试流程

按照PTES并结合PCINISTOWASP等规范标准,整个测试流程包括前期交互、情报搜集、威胁建模、漏洞分析、渗透攻击、后渗透攻击、报告等7个阶段。

Copyright ©  2017-2018 鼎铉商用密码测评技术(深圳)有限公司 版权所有 粤ICP备17155850号-1