010-8889-8087
客户收益
技术安全性的验证
安全隐患点的发现
专业资质
提供安全加固的依据
安全技能的提升
实施流程
渗透实施操作验证
渗透实施报告输出
渗透信息收集分析
渗透方案客户授权
阶段目标
渗透测试获取管理权限、完全控制目标信息系统主机
渗透成果汇报、安全隐患识别、安全意识提高、防护能力增强
客户知晓方案、流程实施细节,获取客户授权
提高模拟渗透攻击的成功率、有效降低渗透攻击测试的风险
阶段任务
利用目标漏洞、提升渗透权限、控制目标系统、交付渗透记录
交付实施报告、安全建议指导、服务产品验收
完成目标系统信息采集分析、根据结果提交风险规避方案
制定渗透流程、交付实施方案、签署实施申请、客户授权许可
阶段步骤
验证漏洞、获得权限、提升权限、控制系统、渗透收尾、生成记录、问题讨论
记录整理、生成报告、报告交付、安全建议、服务验收
网络收集、端口扫描、系统判别、应用分析、帐户扫描、漏洞扫描
方案提交、方案讲解、方案认同、方案采纳、实施申请、客户授权
交付成果文档
《渗透测试实施记录》
《渗透测试实施报告》
《风险规避措施方案》
《渗透测试实施方案》《渗透实施申请报告》
测试技术
常见安全漏洞
一、XSS(Cross Site Scripting)跨站脚本攻击
跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。
1、存储型XSS
一般存在于form表单提交等交互功能,攻击者将内容经正常功能提交进入数据库持久保存。
2、反射型XSS
一般通过给用户发送带有恶意脚本代码参数的URL,当URL地址被打开时,提交一个伪造表单,其中的恶意代码会和正常返回数据一起作为响应发送到用户的浏览器,被HTML解析并执行。
3.DOM型XSS
客户端脚本自身解析不正确导致的安全问题
二、CSRF(Cross Site Request Forgery)跨站请求伪造
跨站请求伪造是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。
三、 SQL注入攻击
SQL注入是一种常见的Web安全漏洞,攻击者利用这个漏洞,可以访问或修改数据,或者利用潜在的数据库漏洞进行攻击。
四、点击劫持攻击
点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段。Clickjacking攻击的方式就是在给用户展示的页面上再加上一个透明的页面,诱使用户进行点击。实际上,就是把一个iframe页面放在真实页面之上,再把这个iframe页面中想要用户点击的地方放在真实页面用户需要点击的地方。攻击者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻击等;也可以与 XSS 和 CSRF 攻击相结合,突破传统的防御措施,提升漏洞的危害程度。
五、命令注入攻击
攻击者能够通过HTTP请求直接侵入主机,执行攻击者预设的shell命令。
六、文件上传漏洞
服务器未校验上传的文件,致使黑客可以上传恶意脚本等方式。
