Web系统渗透测试
基于最新的OWASP TOP10定义,手工发现Web应用系统 存在的漏洞,主要包括:
Web页面安全漏洞:
覆盖注入漏洞、命令执行、文件上传、任意文件下载、 XSS、XXE、CSRF、SSRF等漏洞
中间件漏洞:
覆盖DB中间件常见漏洞、Web中间件常见的漏洞,如反 序列化、弱口令、配置错误等漏洞
业务逻辑漏洞:
覆盖业务系统中的账号安全、弱口令、水平越权、垂直 越权等漏洞
186-5599-7799
渗透测试服务
渗透测试服务,是指安全工程师模拟黑客攻击的手段,发现Web应用系统、APP程序中存在的安全漏洞,并结合漏洞情况给出最佳修复建议,帮助用户尽早发现漏洞、尽早修复漏洞,缩短漏洞暴露的时间。
查看详情
服务内容
客户端渗透测试
针对Android客户端和iSO客户端进行安全测试,发现客户 端中存在的安全隐患、主要包括:
客户端程序安全:
覆盖反编译保护。应用完整性安全、栈溢出保护、程序 任意调试等安全性测试
客户端组件安全:
覆盖Provider注入、目录编译、Activity组件风险、劫持 风险、WebViewer组件安全等安全性测试
进程安全:
覆盖Root环境检测、Ptrace注入检测、未使用编译器堆 栈保护技术、越狱检测、反调试检测等方面的安全性测 试
服务场景
《中华人民共和国网络安全法》 《信息安全技术——网络安全等级保护基本要求》 《关键信息基础设施安全保护条例》 等法律法规都明确要求客户定期开展网络安全评估工作,以保证自身基础环境及重要应用系统的安全。
代码审计服务
程序的安全性是否有保障很大程度上取决于程序代码的质量,而保证代码质量最快捷有效的手段就是源代码审计。通常系统在开发的过程中会产生安全缺陷,通过采用源代码安全审计服务,来减少和降低开发过程中的安全缺陷,有效降低客户系统安全风险,保障系统安全稳定运行。
查看详情
服务内容
纯人工审计
阅读代码里借业务逻辑,发现通用的Web安全漏洞、业务逻辑漏洞以及配置缺陷
模拟执行 跟踪调试
在测试环境模拟执行代码或利用编译器编译部分代码执行,跟踪调试快速定位问题
半自动化工具扫描
根据客户需求,可选择半自动化工具对人工审计后的代码进行扫描,提升结果的准确性
服务场景
为进一步加强系统的安全性,建议直接使用代码审计服务。
提供第三方代码审计报告,方便项目中使用。
应急响应服务
应急响应服务是以“快速响应、力保恢复”为行动标准,致力于成为网络安全领域的“120急救中心”,通过在遇到突发安全事件后采取监控、分析、协调、处理、保护资产等安全属性的工作,保障涉事单位的正常运营、减少因安全事件带来的经济损失和负面影响。
查看详情
服务内容
准备阶段
完成安全事件预判、响应和取证方案制定、人员物资调配等工作,为后续应急响应及溯源取证的顺利进行提供保障。
检测阶段
完成现场/远程排查分析、制定响应策略等工作,确定事件类型,评估事件影响,制定详细的应急响应策略。
抑制阶段
根据客户完成抑制方案的制定与实施等工作,限制事件扩散、影响范围以及损失、破坏,并遵循业务影响最小化原则。
根除阶段
完成根除方案制定、实施以及效果判定等工作,找出事件根源,明确彻底清除或补救措施。
恢复阶段
根据抑制和根除阶段情况,协助系统恢复。
服务场景
通过对以上各阶段处理过程进行总结,输出应急响应报告。