服务优势
icon
像黑客一样思考
在用户的授权下,模拟黑客对用户网站进行入侵尝试,帮助用户理解黑客的突破点,比黑客更早发现问题
icon
深入验证漏洞
渗透测试服务将尝试验证每一个漏洞的真实威胁,同时帮助用户真正理解漏洞的成因,做到自主可控可防
icon
专家团队服务
每一次渗透测试都由安全专家手动实施,测试完成后,还会提出专业修复建议,帮用户真正解决安全问题
服务流程
1
商务洽谈
2
签订授权
协议
3
安全工程师
进行渗透
4
渗透进度反馈
5
渗透测试
报告输出
6
漏洞修复验证
服务内容
主机操作系统渗透
对 WINDOWS、SOLARIS、AIX、LINUX、SCO、SGI 等操作系统本身进行渗透测试:
Windows 系列操作系统漏洞包括:
1、端口扫描
2、NetBIOS name service 测试
3、RFC 漏洞攻击
4、SMB 漏洞攻击
5、Windows DNS 测试
6、Snmp 漏洞测试
7、活动目录测试
8、Sql Server 弱口令测试
9、系统弱口令测试
10、终端服务弱口令测试
11、IIS 权限及溢出测试
12、Exchange server 漏洞测试
13、ftp 弱口令测试
*nix 系列渗透测试包括:
1、端口扫描
2、ssh 弱口令测试
3、telnet 弱口令测试
4、Ftp 弱口令测试
5、Samba 弱口令测试
6、RPc 枚举和漏洞测试
7、NFS 漏洞测试
8、Snmp 漏洞测试
9、DNS 漏洞测试
10、rlogin,rsh 漏洞测试
数据库系统的测试
对 MS-SQL、ORACLE、MYSQL、DB2 等数据库应用系统进行渗透测试:
1、默认账号及弱口令攻击
2、存储过程漏洞攻击
3、数据库运行权限探测
4、提权漏洞攻击
5、低版本溢出漏洞攻击
WEB应用系统渗透
对渗透目标提供的各种应用,如 JSP、PHP 等组成的 WEB 应用进行渗透测试:
1、检查应用系统架构、防止用户绕过系统直接修改数据库
2、检查身份认证模块,防止非法用户绕过身份认证
3、检查数据库接口模块,防止用户获取系统权限
4、检查文件接口模块,防止用户获取系统文件
5、检查其他安全威胁
网络设备渗透
对各种防火墙、入侵检测系统、网络设备进行渗透测试:
1、Tftp 获取配置攻击
2、管理界面默认账号密码
3、snmp 读写权限攻击
4、telnet,ssh 默认账号弱口令攻击
5、低版本溢出漏洞攻击
系统业务渗透
对系统的核心业务进行安全风险挖掘:
1、用户安全、恶意注册、盗号风险
2、支付安全、交易安全
3、秒杀、排名作弊
4、垃圾消息
口令猜解
口令猜测也是一种出现概率很高的风险,几乎不需要任何攻击工具,利用一个简单的
暴力攻击程序和一个比较完善的字典,就可以猜测口令。
对一个系统账号的猜测通常包括两个方面:首先是对用户名的猜测,其次是对密码的猜测。
其他方面渗透
除了上述的测试手段外,还有一些可能会在渗透测试过程中使用的技术:
1、社会工程学
2、客户端攻击
3、拒绝服务攻击
4、中间人攻击
合作伙伴
icon 7 X 24小时
icon 管家式运维
icon 企业级SRC