精于技术, 专于培训

安全渗透测试

渗透测试服务,需在用户的授权和监督下,以模拟恶意攻击者的攻击方法,对指定的网站和应用系统进行非恶意性的攻击测试,查找存在的漏洞并给出详细的修复建议。

【服务概述】

        渗透测试服务,需在用户的授权和监督下,以模拟恶意攻击者的攻击方法,对指定的网站和应用系统进行非恶意性的攻击测试,查找存在的漏洞并给出详细的修复建议。       

【服务内容】

       渗透测试,除使用产品和工具扫描外,更重要的需要进行人工渗透,渗透内容包括但不限于以下测试项,且需要对发现的漏洞进行验证和利用。

            图片关键词

【服务特点】

■ 人工渗透占比80%以上

    我们的渗透测试服务,包括应用漏洞扫描和人工渗透两种方式,而人工渗透在渗透测试服务工作中的比重,超过80%。

■ 人工验证漏洞,排除误报漏洞

    渗透测试前期采用扫描工具进行漏洞扫描,扫描结果可能存在大量的误报,对于高、中危漏洞,我们的渗透测试专家会进行人工利用验证,排除误报漏洞,从而确保渗透测试结果的准确性。

■ 有效检测业务逻辑漏洞和缺陷
    漏洞扫描工具能发现系统中的常见已知漏洞,但对于应用系统的业务逻辑漏洞和缺陷却无能为力。对于这些业务逻辑漏洞和缺陷,我们通过人工渗透测试,可以对其进行有效检测和发现。

【服务价值】

    验证应用系统现有安全措施的防护强度,评估应用系统被入侵的可能性;
    主动发现系统存在的安全漏洞和隐患,提出针对性修复方案;
    在入侵者发起攻击前封堵可能被利用的攻击途径,变被动为主动,降低安全事件发生的可能性。

【渗透测试遵循标准】

·  信息技术安全性评估准则 (GB/T 18336-2008)

·  信息系统安全等级保护实施指南 (GB/T 25058-2010)

·  信息系统安全等级保护基本要求 (GB/T 22239-2008)

·  信息系统通用安全技术要求 (GB/T 20271-2006)

·  信息安全技术 信息系统通用安全技术要求 (GB/T 20271-2006)

·  信息安全技术 数据库管理系统安全技术要求 (GB/T 20273-2006)

·  信息系统安全等级保护测评要求 (GB/T 28448-2012)

·  信息安全技术公共及商用服务信息系统个人信息保护指南 (GB/Z 28828-2012)

·   移动互联网联网应用安全防护检测要求 (YD/T 2695-2014)

·  移动智能终端上的个人信息保护技术要求 (YD/T 3082-2016)

·  移动智能终端应用软件安全技术要求 (YD/T 3039-2016)

·  《OWASP Top 10 Mobile Risks》


更多信息欢迎扫码咨询

信息安全认证|信息安全培训|项目管理认证|敏捷开发