渗透测试
技术安全性的验证
安全隐患点的发现
提供安全加固的依据
安全技能的提升
渗透测试和工具扫描的结果将一起为日后的安全规划和安全加固等提供重要数据。渗透测试的结果可作为内部安全意识的案例,在对相关的接口人员进行安全教育时使用。
渗透测试是对传统安全弱点的串联并形成路径,最终通过路径式的利用达到模拟入侵的效果。在渗透测试的整个过程中,模拟黑客入侵事件可有效的验证每个安全隐患点的存在及其可利用程度,并从中找出企业最急需解决的安全问题,以非常明显直观的结果反映出系统的安全现状。
渗透测试服务作为独立的安全技术服务,其主要目的是验证整个目标系统的技术安全性,亦可针对客户重点业务进行渗透测试,作为一种发现、验证系统风险的重要手段。通过渗透测试,可在技术层面定性地分析系统的安全性。
渗透测试服务会给用户提供一份测试报告,一份专业的渗透测试报告不但可以为用户提供案例参考,更可作为常见安全原理的学习参考。
渗透实施报告输出
渗透实施操作验证
渗透信息收集分析
渗透方案客户授权
渗透方案客户授权
对自动测试结果的验证
个性化页面信息的人工甄别
12345
2345
多数自动化测试工具,都是以返回页面中的关键字或 HTTP 的状态值作为判断条件,而某些经过精心构造的个性化页面,其返回内容可能无法完全由自动化工具进行判断,这样的站点就需进行手动测试。
自动化检测工具难免存在误报,因而手动测试需要筛选出自动化检测中的误报结果,同时还要对正确告警的结果进行验证和再利用,以确认其危险程度与自动扫描的结果一致。
45
345
JavaScript 测试
提交数据的精细化测试
5
业务逻辑的安全测试
向当地公安网监提交测评报告,配合完成检查,公安机关监督检查进行等级保护工作。系统持续改进与优化,并按照相关要求进行年检(二级系统每2年进行一次测评检查,三级系统每年检查一次)。
随着 Web2.0 的兴起,JavaScript 被广泛使用,而自动化扫描工具对 JavaScript 脚本的解析能力不强,在自动扫描过程中难免遗漏,因此,需要手动对自动化扫描工具无法解析的、含有 JavaScript 脚本的页面进行二次测试,以检测其安全性。
自动化测试在对提交数据进行构造时,其构造方式均遵循一定的规律,而手动测试则可避免这样的问题出现。因此某些可从本地构造恶意数据并提交测试的页面,需手动进行深度测试。
