<center id="euu8a"><wbr id="euu8a"></wbr></center>
<center id="euu8a"></center>
<optgroup id="euu8a"><div id="euu8a"></div></optgroup><optgroup id="euu8a"><div id="euu8a"></div></optgroup>
<optgroup id="euu8a"><small id="euu8a"></small></optgroup>
<optgroup id="euu8a"><div id="euu8a"></div></optgroup><center id="euu8a"></center>
鼎鉉商用密碼測評技術(深圳)有限公司
0755-89669007

項目概況

通過模擬黑客的思維和攻擊手段,對計算機業務系統的弱點、技術缺陷和漏洞進行探查評估。經過客戶授權后,在不影響業務系統正常運行的條件下,滲透人員在黑客可能的不同的位置,采取可控的方法、手段和工具,對某個特定業務系統進行主動分析和測試,發現和挖掘業務系統中存在的弱點、技術缺陷或漏洞,然后輸出滲透測試報告,并提交給業務系統所有者。業務系統所有者根據滲透人員提供的滲透測試報告,可以清晰知曉業務系統中存在的安全隱患和問題,是計算機業務系統信息安全防范的一種新技術,對于信息安全保障具有實際應用價值。


參考依據

國際滲透測試規范《OWASP WEB應用十大安全風險》(2017版)

國際滲透測試規范(OSSTMM)

國際滲透測試標準《PTES滲透測試標準》

國內滲透測試規范《WEB應用安全測試規范》

國內滲透測試技術標準《中國滲透測試知識庫》


滲透內容

商用密碼應用安全性評估主要從總體要求、物理和環境、網絡和通信、設備和計算、應用和數據、密鑰管理以及安全管理七個方面進行評估。

1. Web安全滲透測試

通過對自動化檢測結果的驗證,結合測試人員的經驗深度挖掘漏洞,和人自身的邏輯識別能力挖掘某些邏輯錯誤,全方面評估Web應用系統的安全。


序列號

測試項

1

注入漏洞

2

失效的身份認證和會話管理

3

敏感信息泄露

4

XML外部實體(XXE)

5

失效的訪問控制

6

安全配置錯誤

7

跨站腳本XSS

8

不安全的反序列化

9

使用含有已知漏洞的組件

10

不足的日志記錄和監控

11

跨站請求偽造(CSRF

12

未受保護的APIs

13

攻擊檢測防御不足

14

關鍵業務邏輯測試

2. App安全滲透測試

App應用將會面臨內容安全、計費安全、客戶信息安全、業務邏輯等方面的挑戰。隨著自主開發的移動APP越來越多,其中的安全性將面臨越來越多的挑戰。

序列號

測試項

Android應用客戶端

iOS應用客戶端

1

移動客戶端安全

移動客戶端安全

2

組件安全

敏感信息安全

3

敏感信息安全

密碼軟鍵盤、手勢安全

4

數據存儲安全

安全策略

5

密碼軟鍵盤、手勢安全

保護機制

6

安全策略

通信安全

7

通信安全

業務安全

8

業務安全

3. 小程序安全滲透測試

APP應用提供的框架、組件、API及工具在一定程度上保障了小程序的安全性,但由于開發者的安全意識不足,一些Web中的安全漏洞在小程序中仍然會存在,產生安全風險。

序列號

測試項

1

注入漏洞

2

越權訪問漏洞

3

文件上傳漏洞

4

跨站請求偽造漏洞(CSRF

5

跨站XSS漏洞

6

敏感信息泄露

7

安全配置錯誤

8

用戶、管理員身份認證缺陷

9

非授權訪問

10

使用存在漏洞的組件

11

數據傳輸、存儲安全

12

動態保護

13

代碼保護

4. PC客戶端(CS架構)滲透測試

PC客戶端,即CS架構,有豐富功能的GUI,開發語言有C#(.NET)、JAVA、DELPHI、C、C++等,協議有TCP、HTTP(S)、TDS等,數據庫有oracle、mssql、db2等;

序列號

測試項

1

逆向工程

2

信息泄露

3

密碼明文傳輸

4

用戶名枚舉

5

SQL注入

6

CSV注入

7

弱口令

8

命令執行

9

邏輯缺陷

10

DLL劫持

11

授權認證缺陷

12

溢出漏洞

測試方法

測試方法包括黑盒測試、白盒測試、灰盒測試、人工測試、工具掃描、漏洞驗證、漏洞演示、橫向滲透、縱向滲透等。

測試流程

          計劃準備:需求調研、溝通與培訓、目標和范圍、項目計劃

滲透實施:信息收集、信息分析、漏洞探測、漏洞驗證、漏洞利用

評估與解決:風險評估總結、安全現狀報告、安全解決方案

報告輸出:報告編寫、報告審核、提交報告、

Copyright © 2017-2021 鼎鉉商用密碼測評技術(深圳)有限公司 版權所有 粵ICP備2021140434號-1
一级做a爱过程免费视频
<center id="euu8a"><wbr id="euu8a"></wbr></center>
<center id="euu8a"></center>
<optgroup id="euu8a"><div id="euu8a"></div></optgroup><optgroup id="euu8a"><div id="euu8a"></div></optgroup>
<optgroup id="euu8a"><small id="euu8a"></small></optgroup>
<optgroup id="euu8a"><div id="euu8a"></div></optgroup><center id="euu8a"></center>