|
|
承制科技渗透测试技术服务
在信息时代,任何一家企业都有至关重要的那一部分数据和信息,无论是客户数据还是产品数据,一旦泄露都将对企业造成不容小觑的损失。所以对企业的系统进行渗透测试技术服务不只是应对甲方或合规方向的要求,而是企业持续发展不可或缺的一项工作。
北京承制科技有限公司
承制科技独具特色的渗透测试定制化服务,可以针对客户不同的需求制定不同的服务内容,即便是一个很小的订单,承制科技也会由专业团队定制完善的服务。
渗透测试技术服务
承制科技渗透测试技术服务是在客户书面授权委托同意实施的前提下,由渗透测试工程师采用完全模拟入侵者可能使用的攻击技术和漏洞发现技术,利用专家经验对网络中常用的应用系统等进行非破坏性质的模拟攻击,发现系统最脆弱的环节,并将测试的过程和细节形成书面报告。
渗透测试原理
渗透测试主要依据网络安全专家已经掌握的漏洞和安全检测工具,模拟黑客的攻击方式,在客户的授权和监督下,对客户的系统和网络进行非破坏性质的攻击性测试。
渗透测试的必要性
渗透测试利用网络安全扫描器、安全测试工具和富有经验的安全工程师的人工经验对网络中的核心服务器及重要的网络设备,包括服务器、网络设备、防火墙等进行非破坏性质的模拟黑客攻击,目的是侵入系统获取机密信息并将入侵的过程和细节产生报告给用户。
渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度,但是存在一定的误报率和漏报率,并且不能发现高层次、复杂、并且相互关联的安全问题;渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高(渗透测试报告的价值直接依赖于测试者的专业技能),但是非常准确,可以发现逻辑性更强、更深层次的弱点。
渗透测试服务内容
Web渗透测试服务
Web渗透测试服务围绕系统层、应用层、网络层等技术层面开展,通过模拟黑客使用的工具、分析方法,针对不同层面的安全漏洞及威胁进行模拟攻击,先于黑客攻击之前发现安全隐患,并根据不同的漏洞提出相应的修补建议。
客户端渗透测试服务
客户端渗透测试通过真实模拟⿊客使⽤的攻击⽅式,对客户端的组件、网络交互、接口等进行黑盒和白盒角度全面的测试,找出客户端存在的脆弱性,并提供安全修复建议。
物联网渗透测试服务
主要参照开放网络应用程序安全计划(OWASP)发布的物联网十大安全漏洞及其他新兴行业标准对物联网设备进行渗透测试。包括密码、网络服务和协议、访问接口、安全更新机制、隐私保护、敏感的数据传输和存储等方面。
APP安全性检测服务
针对业务系统相关的APP做全面的安全性检测。包括静态检测、动态检测和个人隐私权限检测。
渗透测试人才培养
采取知识讲解与实际操作演练相结合的方式进行攻防技术培训,可以帮助企业提升安全团队的攻防技术能力,并通过CISP-PTE/PTS认证考试,培养高素质的攻防实战型人才。
渗透测试服务价值
保护资产安全
通过对目标业务系统开展渗透测试,及时发现目标资产的安全漏洞,将风险扼杀于萌芽,为客户保驾护航。
保护设备安全
通过对物联网设备开展安全检测,发现目标物联网设备的安全隐患与漏洞,并根据相应的建议和补救措施进行提升,降低安全漏洞风险,规避各类损失。
提高APP安全
全面掌握移动APP各类风险,提升移动APP多层面的安全性,使产品符合国家以及行业监管要求,同时也可以提升开发人员和测试人员安全意识。
提高团队安全意识
通过攻防技术培训,提升企业安全团队的攻防技术能力,建立高素质的实战团队。
超值性价比服务
承制科技践行以生态为基础,以客户为中心,以价值为导向的管理理念,在创新和协同的基础上可以提供优质的服务并降低客户的成本,提供超出客户预期的价值。
渗透测试服务流程
方案制定
根据 2017 年 6 月 1 日起施行的《中华人民共和国网络安全法》,需要得到客户的官方授权,并同意实施方案是进行渗透测试的必要条件。渗透测试首先会将实施方法、实施时间、实施人员、实施工具等具体的实施方案提交给客户,并得到客户相应的书面授权。
做到客户对渗透测试所有细节和风险的知晓,所有的过程都在客户的控制下进行,这也是承制科技的专业渗透测试服务和黑客攻击入侵的本质不同。
信息收集
信息收集是每一步渗透攻击的前提,通过信息收集可以有针对性地制定模拟攻击测试计划,提高模拟攻击的成功率,同时可以有效的降低攻击测试对系统正常运行造成的不利影响。
信息收集的方法包括 Ping Sweep、 DNS Sweep、 DNS zone transfer、操作系统指纹判别、应用判别、账号扫描、配置判别等。信息收集常用的工具包括商业网络安全漏洞扫描软件(例如:游刃、极光等),免费安全检测工具(例如:NMAP、NESSUS 等)。操作系统内置的许多功能(例如:TELNET、NSLOOKUP、IE 等)也可以作为信息收集的有效工具。
计划修订
根据客户设备范围和项目时间计划,并结合前一步初步的信息收集得到的设备存活情况、网络拓扑情况以及扫描得到的服务开放情况、漏洞情况制定模拟攻击方案。具体包括每个地址下一步可能采用的测试手段,详细时间安排。
权限提升
通过初步的信息收集分析,存在两种可能性,一种是目标系统存在重大的安全弱点,测试可以直接控制目标系统;另一种是目标系统没有远程重大的安全弱点,但是可以获得普通用户权限,这时可以通过该普通用户权限进一步收集目标系统信息。接下来尽最大努力取得超级用户权限、收集目标主机资料信息,寻求本地权限提升的机会。这样不停的进行信息收集分析、权限提升的结果形成了整个的渗透测试过程。
生成报告
渗透测试之后,承制科技将会提供一份渗透测试报告。渗透测试报告将会十分详细的说明渗透测试过程及发现的漏洞风险。 |
|
发 帖
发表于 2023-1-5 10:36:16