赛克艾威公司介绍、服务白皮书、信息安全服务方案...
“以上资料,请联系商务经理获取!”
在客户授权下,赛克的专业技术团队采用可控制、非破坏性质的方法和手段,模拟黑客对目标系统进行攻击渗透, 发现系统存在的漏洞和安全隐患,并提供实际可行的安全修复建议。
渗透测试过程模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试。所有的渗透测试行为将在客户的书面明确授权和监督下进行。
渗透测试内容如下:
以渗透测试方式做为切入点,对网络中的关键信息系统进行一次全面深入的模拟黑客攻击测试, 从而找出信息系统中存在的缺陷和漏洞;然后以渗透测试结论为依据,对整个信息系统中的高危漏洞进行安全加固。
1、Web安全
专业技术团队根据测试目标的实际场景进行SQL注入、XSS、XXE、CSRF、任意文件上传、信息泄露、命令执行、代码执行、反序列化等漏洞的尝试。
2、业务逻辑安全
专业技术团队根据测试目标的实际场景进行用户名枚举、密码枚举、弱口令、越权攻击、未授权访问、验证码缺陷等漏洞的尝试。
3、中间件安全
专业技术团队根据测试目标的实际场景进行中间件配置缺陷、中间件弱口令、反序列化、远程命令执行等漏洞的尝试。
......
信息系统渗透测试项目的主要任务是由渗透测试服务人员来完成,根据项目特点,项目风险主要来源于渗透测试的服务人员。 通过风险控制措施、渗透测试风险规避措施可有效降低项目实施过程中产生的风险问题,降低风险发生的机率。
在渗透测试过程中可以通过采取以下措施规避风险:
1、签署委托测评协议
在渗透工作正式开始之前,甲乙双方需要以委托协议的方式明确工作的目标、范围、人员组成、计划安排、执行步骤和要求、 以及双方的责任和义务等。使得双方对渗透工作过程中的基本问题达成共识,后续的工作以此为基础,避免以后的工做出现大的分歧。
2、签署保密协议
所有参与项目的成员都将签署项目特定的保密协议和非侵害协议,对工作过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不会利用此数据进行任何侵害的行为。
通过制定项目整体工作计划、双周工作计划并落实持续有效的进度监控机制,及时掌握项目进度状态及趋势,发现重大进度问题,为项目决策和协调提供支持。
3、规范化的实施过程
为保证按计划、高质量地完成测试工作,应当明确测试记录和测试报告要求, 明确测试过程中每一阶段需要产生的相关文档,使测试有章可循。在委托协议和实施方案中,需要明确双方的人员职责、测试对象、时间计划、测试内容要求等。
4、沟通与交流
为避免测试工作中可能出现的争议,在测试开始前与测试过程中,双方需要进行积极有效的沟通和交流,及时解决测试中出现的问题,这对保证测试的过程质量和结果质量有重要的作用。
5、风险规避策略
