服務(wù)內(nèi)容
滲透測試服務(wù)是在獲得客戶的授權(quán)下�����,模擬黑客的攻擊方法對目標(biāo)的信息系統(tǒng)進(jìn)行的非破壞性質(zhì)攻擊測試���,模擬侵入系統(tǒng)獲取權(quán)限��、披露系統(tǒng)安全隱患�,并將入侵過程和細(xì)節(jié)進(jìn)行匯總研究,編寫成測試報告�,及時提醒客戶完善安全策略,協(xié)助客戶進(jìn)行安全加固�����,從而降低安全風(fēng)險的專項安全檢測服務(wù)。
滲透測試服務(wù)是一種主動性針對信息系統(tǒng)進(jìn)行的安全檢測服務(wù)��,類似于軍隊里的“實戰(zhàn)演習(xí)”或日常生活中的“消防演習(xí)”,是一種專業(yè)主動的檢測信息系統(tǒng)安全的方法,能夠直觀的讓管理者知道面臨的安全問題���;此外�,滲透測試可以彌補(bǔ)其他評估手段存在不足,能發(fā)現(xiàn)系統(tǒng)存在更高層次���、更復(fù)雜、更隱蔽的安全問題���。
滲透對象
滲透測試服務(wù)針對的目標(biāo)信息系統(tǒng)如下:
測試內(nèi)容
比特豹滲透測試內(nèi)容���,主要包括信息收集��、配置管理類�、認(rèn)證類、會話類�、授權(quán)類���、數(shù)據(jù)驗證類��、系統(tǒng)應(yīng)用漏洞等。
| 服務(wù)內(nèi)容 |
內(nèi)容描述 |
| 信息收集 |
信息收集是滲透入侵前的基礎(chǔ)����,通過對網(wǎng)絡(luò)信息收集分析�����,可以相應(yīng)地���、有針對性地制定模擬黑客入侵攻擊的計劃,以提高入侵的成功率�����、減小暴露或被發(fā)現(xiàn)的幾率�����。
|
| 端口掃描 |
通過對目標(biāo)地址的 TCP/UDP
端口掃描��,確定其開放的服務(wù)數(shù)量和類型�。并且結(jié)合測試人員的經(jīng)驗檢測其可能存在�,以及被利用的安全弱點,為進(jìn)行深層次的滲透測試提供依據(jù)��。
|
| 口令爆破 |
針對客戶系統(tǒng)、應(yīng)用程序����、數(shù)據(jù)庫等存在的用戶名����、密碼系統(tǒng)默認(rèn)的�、口令長度過短或口令過簡單等弱口令隱患�,進(jìn)行暴力破解及猜測��,從而直接進(jìn)行網(wǎng)站非法接管�����。
|
| 失效的訪問控制 |
通過身份驗證的用戶���,可以訪問其他用戶的相關(guān)信息,沒有實施恰當(dāng)?shù)脑L問權(quán)限����。測試人員可以利用這個漏洞去查看未授權(quán)的功能和數(shù)據(jù)�����。
|
| 安全配置錯誤 |
由于運維人員的不當(dāng)配置 ( 默認(rèn)配置,臨時配置�����,開源云存儲�,http 標(biāo)頭配置,以及包含敏感信息的詳細(xì)錯誤
)����,導(dǎo)致攻擊者可以利用這些配置獲取到更高的權(quán)限��,安全配置錯誤可以發(fā)生在各個層面�,包含平臺�����、web 服務(wù)器����、應(yīng)用服務(wù)器����、數(shù)據(jù)庫、架構(gòu)和代碼�。
|
| XSS跨站腳本攻擊 |
跨站腳本攻擊是最普遍的 web 應(yīng)用安全漏洞,甚至在某些安全平臺都存在 xss漏洞��。xss
會執(zhí)行攻擊者在瀏覽器中執(zhí)行的腳本�����,并劫持用戶會話��,破壞網(wǎng)站或用戶重定向到惡意站點�,使用 xss 還可以執(zhí)行拒絕服務(wù)攻擊。
|
| 不安全的反序列化 |
不安全的反序列化可以導(dǎo)致遠(yuǎn)程代碼執(zhí)行����、重放攻擊�����、注入攻擊或特權(quán)升級攻擊����。常見的 S2�����,Weblogin 反序列 RCE 攻擊。
|
| CSRF跨站請求偽造 |
利用目標(biāo)用戶的合法身份�,以目標(biāo)用戶的名義執(zhí)行某些非法操作���。如非法轉(zhuǎn)賬,盜號等����。
|
| SQL注入測試 |
SQL 注入是指攻擊者通過注入惡意的 SQL 命令 , 破壞 SQL 查詢語句的結(jié)構(gòu) , 從而達(dá)到執(zhí)行惡意 SQL 語句的目的。SQL
注入攻擊是對數(shù)據(jù)庫直接操作,可獲得網(wǎng)站的數(shù)據(jù)庫數(shù)據(jù)����,破解網(wǎng)站服務(wù)器的后臺管理密碼�。
|
| 文件上傳操作測試 |
利用網(wǎng)站的上傳功能存在的上傳漏洞 , 利用該漏洞上傳木馬從而在網(wǎng)站上獲取Webshell 并進(jìn)而控制網(wǎng)站的攻擊測試�。
|
| 業(yè)務(wù)邏輯漏洞 |
業(yè)務(wù)越權(quán)漏洞是比較常見的漏洞類型,還有支付邏輯的安全邏輯問題����。邏輯漏洞是所有漏洞掃描工具無法掃描的,必須手工測試����。
|
| Nday漏洞測試 |
利用各種公開的漏洞對目標(biāo)實施 nday 攻擊����。
|
| 其它攻擊測試技術(shù) |
社會工程學(xué)(測試人員安全��、人員的安全意識等)�,物理安全測試、ARP 欺騙測試等技術(shù)手段����。
|
滲透流程
滲透測試服務(wù)是通過遠(yuǎn)程(外網(wǎng))或本地(內(nèi)網(wǎng))利用目標(biāo)應(yīng)用系統(tǒng)等安全弱點和漏洞,模擬真正黑客的入侵攻擊方法�����,以人工浸透為主,掃描工具為輔���,在保證整個滲透測試過程都在可以控制和調(diào)整的范圍之內(nèi)盡可能地獲取目標(biāo)信息系統(tǒng)的管理權(quán)限及敏感信息�����。滲透測試服務(wù)的基本流程如右圖所示:
其中在滲透測試實施過程中主要步驟由信息收集����、弱點分析、獲取權(quán)限����、權(quán)限提升組成:
服務(wù)價值
