深圳市常行科技有限公司
 
 
风险评估 应急响应 渗透测试 等级保护 重保服务 管理体系评估
安全加固 漏洞扫描 备件支持 安全建设规划 内网深度威胁发现 巡检服务
渗透测试解决方案

渗透测试是在经已经获得客户授权的情况下,对目标系统进行模拟黑客可能使用的攻击手段,对目标系统进行深入的漏洞挖掘, 并以报告的形式对目标系统作出安全现状的评估。渗透测试是一种非常专业的安全服务技术,它能够非常直观体现出目标系统的漏洞所在和具有非常针对性的引导客户改善目标系统的安全性。渗透测试主要依据我司安全专家已经掌握的安全漏洞和安全检测工具,模拟黑客的攻击方法,在客户的授权和监督下对客户的系统和网络进行非破坏性质的攻击测试。渗透内容以客户授权文件中的范围为基准,渗透结果以报告的形式交付客户,报告内容包括但不限于描述具体的渗透测试过程和目标系统漏洞现状及修复建议。渗透测试主要以手工和工具配合的方式进行,工具判断速度快、范围广但基于判断算法的局限性导致存在一定的误报率,手工探测依据渗透人员多年的技术经验积累可以对漏洞精准判别。渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高(渗透测试报告的价值直接依赖于测试者的专业机能),但是结果非常精准,可以为客户提供更全面,更深入的漏洞报告。


渗透测试工作流程


渗透测试.png


渗透测试操作计划

渗透测试实施内容

渗透描述

 

由安全工程师模拟黑客的渗透攻击行为,提前对目标系统进行渗透演练以发现目标系统当前可能存在的安全漏洞,并基于发现的漏洞提出详细的报告描述以指导客户进行安全加固。

 

渗透范围

 

依据授权文件,渗透指定范围如某WEB站点WWW.TEST.COM

 

渗透时间

 

依据授权文件,在指定时间段内进行渗透测试操作,如2020年4月20号到2020年4月21号,上午9:00到下午18:00

 

渗透流程

 

渗透测试详细的流程步骤如下:


 渗透测试1.png


各个阶段介绍如下:


1、信息收集

信息收集对于渗透测试前期来说是非常重要的,因为只有掌握了目标网站或目标主机足够多的信息之后,才能更好地对其进行漏洞检测。信息收集的方式可以分为两种即主动和被动。


2、漏洞信息分析

根据实际业务内容给探测到的漏洞进行风险等级划分。高危漏洞是指这些漏洞很容易被病毒、木马、黑客等侵入获取系统最高权限,导致服务、应用崩溃,或者盗取、发布、劫持重要数据信息等,必须尽快修复;中危险漏洞是指入侵者不一定需要认证,就可以访问部分受限制的信息,也可以破坏部分信息,根据业务需求尽快修复;低危险漏洞是指该漏洞难以实际利用或利用条件苛刻,但存在一定威胁可以读取相关有限的数据信息,可依据实际业务需求进行修复。


3、漏洞利用和验证

针对探测到的实际漏洞进行利用和危害验证,主要以成功获取目标系统的WEBSHELL为基准。同时以实际的渗透效果直接为客户体现出当前目标系统的安全现状,并且这个验证过程可以为目标系统的维护人员提供针对性的修复思路。


4、报告产出

对整个渗透过程进行全面的总结,为目标系统的维护人员提供一份实际可靠的修复依据。

 

渗透方式

 

根据授权文件在指定的时间段渗透指定目标系统范围,测试过程中主要使用手工结合工具的方式进行渗透。工具和手工优缺点如下:


1、工具测试:

优点:速度快、范围广

缺点:误报率高、工具影响可控度低


2、手工测试

优点:针对性强、影响可控度高

缺点:以测试人员能力为基础、速度慢


渗透结果

 


PDF报告一份,内容包括但不限于描述渗透测试操作过程、信息收集内容、漏洞信息、风险评估、修复建议、测试人员联系方式


渗透人员

 

具有国家CISP-PTE证书的专业渗透测试工程师




联系我们

0755-89488369
深圳市常行科技有限公司
深圳市常行科技有限公司 www.szcxlong.com 地址:深圳市梅龙路88号七星商业广场B座805 粤ICP备16030325号    粤ICP备16030325号