北京赛克艾威科技有限公司

渗透测试服务

赛克与您一起成长

渗透测试服务

在客户授权下,赛克的专业技术团队采用可控制、非破坏性质的方法和手段,模拟黑客对目标系统进行攻击渗透,发现系统存在的漏洞和安全隐患,并提供实际可行的安全修复建议。


一、服务内容

渗透测试过程模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试。所有的渗透测试行为将在客户的书面明确授权和监督下进行。

渗透测试内容如下:

二、服务目标

以渗透测试方式做为切入点,对网络中的关键信息系统进行一次全面深入的模拟黑客攻击测试,从而找出信息系统中存在的缺陷和漏洞;然后以渗透测试结论为依据,对整个信息系统中的高危漏洞进行安全加固。

三、服务流程
四、渗透测试方法
1、Web安全

专业技术团队根据测试目标的实际场景进行SQL注入、XSS、XXE、CSRF、任意文件上传、信息泄露、命令执行、代码执行、反序列化等漏洞的尝试。

2、业务逻辑安全

专业技术团队根据测试目标的实际场景进行用户名枚举、密码枚举、弱口令、越权攻击、未授权访问、验证码缺陷等漏洞的尝试。

3、中间件安全

专业技术团队根据测试目标的实际场景进行中间件配置缺陷、中间件弱口令、反序列化、远程命令执行等漏洞的尝试。

......

五、服务保障体系
六、风险规避措施

信息系统渗透测试项目的主要任务是由渗透测试服务人员来完成,根据项目特点,项目风险主要来源于渗透测试的服务人员。 通过风险控制措施、渗透测试风险规避措施可有效降低项目实施过程中产生的风险问题,降低风险发生的机率。

在渗透测试过程中可以通过采取以下措施规避风险:

1、签署委托测评协议

在渗透工作正式开始之前,甲乙双方需要以委托协议的方式明确工作的目标、范围、人员组成、计划安排、执行步骤和要求、 以及双方的责任和义务等。使得双方对渗透工作过程中的基本问题达成共识,后续的工作以此为基础,避免以后的工做出现大的分歧。

2、签署保密协议

所有参与项目的成员都将签署项目特定的保密协议和非侵害协议,对工作过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不会利用此数据进行任何侵害的行为。

3、规范化的实施过程

为保证按计划、高质量地完成测试工作,应当明确测试记录和测试报告要求, 明确测试过程中每一阶段需要产生的相关文档,使测试有章可循。在委托协议和实施方案中,需要明确双方的人员职责、测试对象、时间计划、测试内容要求等。

4、沟通与交流

为避免测试工作中可能出现的争议,在测试开始前与测试过程中,双方需要进行积极有效的沟通和交流,及时解决测试中出现的问题,这对保证测试的过程质量和结果质量有重要的作用。

5、风险规避策略
获取服务方案详情


联系方式

联系邮箱:yanwei@secevery.com

联系电话:13501116240

如需要了解更多服务内容请联系商务对接,获取相关资料
(公司介绍白皮书、赛克艾威信息安全服务技术白皮书、赛克艾威信息安全服务方案)


服务客户列表