1. <span id="0vd7d"><u id="0vd7d"></u></span>
                <s id="0vd7d"></s>

                <s id="0vd7d"><dfn id="0vd7d"><noscript id="0vd7d"></noscript></dfn></s>
              1. 鼎鉉商用密碼測評技術(深圳)有限公司
                0755-89669007

                項目概況

                通過模擬黑客的思維和攻擊手段,對計算機業務系統的弱點、技術缺陷和漏洞進行探查評估。經過客戶授權后,在不影響業務系統正常運行的條件下,滲透人員在黑客可能的不同的位置,采取可控的方法、手段和工具,對某個特定業務系統進行主動分析和測試,發現和挖掘業務系統中存在的弱點、技術缺陷或漏洞,然后輸出滲透測試報告,并提交給業務系統所有者。業務系統所有者根據滲透人員提供的滲透測試報告,可以清晰知曉業務系統中存在的安全隱患和問題,是計算機業務系統信息安全防范的一種新技術,對于信息安全保障具有實際應用價值。


                參考依據

                國際滲透測試規范《OWASP WEB應用十大安全風險》(2017版)

                國際滲透測試規范(OSSTMM)

                國際滲透測試標準《PTES滲透測試標準》

                國內滲透測試規范《WEB應用安全測試規范》

                國內滲透測試技術標準《中國滲透測試知識庫》


                滲透內容

                商用密碼應用安全性評估主要從總體要求、物理和環境、網絡和通信、設備和計算、應用和數據、密鑰管理以及安全管理七個方面進行評估。

                1. Web安全滲透測試

                通過對自動化檢測結果的驗證,結合測試人員的經驗深度挖掘漏洞,和人自身的邏輯識別能力挖掘某些邏輯錯誤,全方面評估Web應用系統的安全。


                序列號

                測試項

                1

                注入漏洞

                2

                失效的身份認證和會話管理

                3

                敏感信息泄露

                4

                XML外部實體(XXE)

                5

                失效的訪問控制

                6

                安全配置錯誤

                7

                跨站腳本XSS

                8

                不安全的反序列化

                9

                使用含有已知漏洞的組件

                10

                不足的日志記錄和監控

                11

                跨站請求偽造(CSRF

                12

                未受保護的APIs

                13

                攻擊檢測防御不足

                14

                關鍵業務邏輯測試

                2. App安全滲透測試

                App應用將會面臨內容安全、計費安全、客戶信息安全、業務邏輯等方面的挑戰。隨著自主開發的移動APP越來越多,其中的安全性將面臨越來越多的挑戰。

                序列號

                測試項

                Android應用客戶端

                iOS應用客戶端

                1

                移動客戶端安全

                移動客戶端安全

                2

                組件安全

                敏感信息安全

                3

                敏感信息安全

                密碼軟鍵盤、手勢安全

                4

                數據存儲安全

                安全策略

                5

                密碼軟鍵盤、手勢安全

                保護機制

                6

                安全策略

                通信安全

                7

                通信安全

                業務安全

                8

                業務安全

                3. 小程序安全滲透測試

                APP應用提供的框架、組件、API及工具在一定程度上保障了小程序的安全性,但由于開發者的安全意識不足,一些Web中的安全漏洞在小程序中仍然會存在,產生安全風險。

                序列號

                測試項

                1

                注入漏洞

                2

                越權訪問漏洞

                3

                文件上傳漏洞

                4

                跨站請求偽造漏洞(CSRF

                5

                跨站XSS漏洞

                6

                敏感信息泄露

                7

                安全配置錯誤

                8

                用戶、管理員身份認證缺陷

                9

                非授權訪問

                10

                使用存在漏洞的組件

                11

                數據傳輸、存儲安全

                12

                動態保護

                13

                代碼保護

                4. PC客戶端(CS架構)滲透測試

                PC客戶端,即CS架構,有豐富功能的GUI,開發語言有C#(.NET)、JAVA、DELPHI、C、C++等,協議有TCP、HTTP(S)、TDS等,數據庫有oracle、mssql、db2等;

                序列號

                測試項

                1

                逆向工程

                2

                信息泄露

                3

                密碼明文傳輸

                4

                用戶名枚舉

                5

                SQL注入

                6

                CSV注入

                7

                弱口令

                8

                命令執行

                9

                邏輯缺陷

                10

                DLL劫持

                11

                授權認證缺陷

                12

                溢出漏洞

                測試方法

                測試方法包括黑盒測試、白盒測試、灰盒測試、人工測試、工具掃描、漏洞驗證、漏洞演示、橫向滲透、縱向滲透等。

                測試流程

                          計劃準備:需求調研、溝通與培訓、目標和范圍、項目計劃

                滲透實施:信息收集、信息分析、漏洞探測、漏洞驗證、漏洞利用

                評估與解決:風險評估總結、安全現狀報告、安全解決方案

                報告輸出:報告編寫、報告審核、提交報告、

                Copyright © 2017-2021 鼎鉉商用密碼測評技術(深圳)有限公司 版權所有 粵ICP備2021140434號-1
                亚洲一区国产肥熟女视频一区二区一区二区三区高清不卡视频日本一区二区三区不卡视频老熟女一区二区免费亚洲一区二区三区日本一区二区视频一区二区三区精品亚洲一区一区二区三区国产欧美一区二区三区精品仙草咪,国产一区国产精品一区国产精品一区二区三区亚洲国产一区二区三区虚拟vr一区二区三区变态拳头交视频一区二区精品国产一区二区三区国产精品一区二区三区手机在线观看欧美成人免费一区二区三区国产欧美精品综合一区二区三区,日本一区二区欧美午夜一区二区福利视频精品国产不卡一区二区三区一区日本高清一区二区亚洲一区二区精品一区成人精品欧美日韩亚洲精品一区一区二区三区欧美激情综合一区二区三区国产福利一区二区三区视频在线,欧美一区亚洲中文字幕一区二区三区高清一区二区三区日本亚洲综合色自拍一区欧美不卡一区二区三区国产欧美在线观看一区二区三区一区二区三区精品免费视频国产精品美女一区二区三区日本一区二区三区高清千人斩一区二区三区久亚洲一区一区二区三区,日本一区国产自产一区c亚洲欧美日韩一区二区国产日产久久高清欧美一区视频一区二区三区日韩在线一区二区三区免费视频国产一区二区三区在线视频鲁丝一区二区三区免费国产精品日韩欧美一区二区三区欧美亚洲国产一区二区三区