渗透测试
服务概述
在客户授权情况下,模拟真实黑客的攻击手法深入探测被测系统业务逻辑缺陷、组合漏洞等深层安全风险。
适用对象
- 关注自身信息安全的企事业单位(项目上线前测试、安全能力自检与提升、安全事件后整改),以及监管部门或客户要求开展渗透测试的项目
测试依据
- GB/T 25000.51-2016《系统与软件工程 系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》
测试内容
1
Web应用系统渗透:深度检测Web应用的SQL注入、跨站脚本(XSS)、越权访问等安全漏洞。
2
主机操作系统渗透:对Windows、Linux等主流操作系统的安全配置、补丁状况及弱口令等进行测试。
3
数据库系统渗透:评估MS-SQL、Oracle、MySQL等数据库的默认配置、弱口令及权限提升风险。
4
内网横向移动与漏洞利用测试:在获得初步权限后,模拟攻击者在内部网络的横向移动,以评估内网整体安全风险。
交付成果
渗透测试报告(含漏洞详情及整改建议)