您現(xiàn)在的位置:首頁 >關(guān)于我們 >行業(yè)新聞 >大家所說的滲(penetration test)透測試服務(wù)是什么?

大家所說的滲(penetration test)透測試服務(wù)是什么?

時(shí)間:2019年7月9日
很多的企業(yè)他們對(duì)于自身的信息系統(tǒng)看得是十分重的,對(duì)于信息的保護(hù)不可少,他們對(duì)于信息保護(hù)產(chǎn)品的看重,往往使其在選擇的時(shí)候會(huì)再三考慮,當(dāng)然測試就避免不了了。針對(duì)這一問題,大家所說的滲(penetration test)透測試服務(wù)就出現(xiàn)了。那么問題來了,什么是滲(penetration test)透測試服務(wù)呢?

一、滲(penetration test)透測試

  滲(penetration test)透測試即通過真實(shí)模擬黑客攻擊行為、分析方法來對(duì)客戶產(chǎn)品進(jìn)行模擬攻擊測試,簡單說就是看產(chǎn)品防御怎樣。

1.設(shè)備方面測試服務(wù):如固件提取分析、網(wǎng)絡(luò)數(shù)據(jù)、云端窗口、APP與網(wǎng)絡(luò)設(shè)備流量攔截分析等。

  測試之后,一般會(huì)將漏洞分為如下:

▼ 高危漏洞

  直接獲取智能設(shè)備權(quán)限的漏洞。包括但不限于遠(yuǎn)程任意命令執(zhí)行、遠(yuǎn)程任意代碼執(zhí)行、getshell等漏洞。

▼ 中危漏洞

  導(dǎo)致智能設(shè)備重要信息泄露或者防護(hù)邏輯被破壞的漏洞,包括但不限于重要調(diào)試信息泄露,加密信息被解密等漏洞。

▼ 低危漏洞

  存在一定風(fēng)險(xiǎn),但需要配合特別的場景需要進(jìn)一步利用才能造成危害的漏洞。

 
2.WEB測試服務(wù)

  顧名思義,就是先對(duì)客戶提供的域名與IP列表范圍的網(wǎng)站進(jìn)行模擬攻擊,再結(jié)合智能工具掃描結(jié)果,讓工程師進(jìn)行更加深入的手工測試和分析,發(fā)現(xiàn)智能工具沒有發(fā)現(xiàn)的問題。

3.系統(tǒng)防護(hù)

  ssh、mysql、svn、redis 等服務(wù)弱口令與暴力破解,系統(tǒng)服務(wù)補(bǔ)丁不全導(dǎo)致的相關(guān)問題,運(yùn)維配置不當(dāng),未授權(quán)訪問與重要信息泄露,服務(wù)器端口掃描

4.應(yīng)用防護(hù)

  SQL 注入漏洞,命令執(zhí)行,xss 跨站腳本漏洞,設(shè)計(jì)缺陷、配置缺陷、未授權(quán)訪問、邏輯問題,文件任意上傳,csrf 漏 洞,拒絕服務(wù)漏洞,任意文件讀取、文件包含,后臺(tái)暴露、后臺(tái)弱口令、接口暴力破解,越權(quán)漏洞

5.數(shù)據(jù)庫防護(hù)

  Sql 注入,命令執(zhí)行,版本較低、補(bǔ)丁未及時(shí)更新,配置不當(dāng)

6.數(shù)據(jù)防護(hù)

  資產(chǎn)泄露,信息泄露,未經(jīng)授權(quán)訪問,越權(quán)訪問

7.中間件防護(hù)

  對(duì)中間件的具體滲(penetration test)透包括 weblogic、webspere 等

8.API 防護(hù)

  登陸認(rèn)證,認(rèn)證授權(quán),接口調(diào)用中的應(yīng)用防護(hù),訪問控制



二、應(yīng)急響應(yīng)

  何為應(yīng)急服務(wù)?應(yīng)急響應(yīng)服務(wù)是為了幫助企業(yè)應(yīng)對(duì)網(wǎng)絡(luò)突發(fā)事件,緊急解決問題,這項(xiàng)服務(wù)主要是幫助用戶來快速解決黑客入侵事件。
當(dāng)黑客入侵或其它影響業(yè)務(wù)正常運(yùn)行的事件發(fā)生時(shí),“看雪專家”會(huì)快速時(shí)間對(duì)此事件進(jìn)行應(yīng)急響應(yīng)處理,進(jìn)行日志分析、后門查找、漏洞修補(bǔ)等服務(wù),幫助企業(yè)查找侵入來源,為企業(yè)挽回或減少經(jīng)濟(jì)損失。


三、防護(hù)加固

  防護(hù)加固服務(wù),是指對(duì)應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)、架構(gòu)進(jìn)行防護(hù)配置和修補(bǔ)。加固項(xiàng)目包括但不限于系統(tǒng)補(bǔ)丁、防火墻、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、防護(hù)設(shè)備、密碼防護(hù)等。

Copyright© 2004-2020 河南海騰電子技術(shù)有限公司 版權(quán)所有   經(jīng)營性ICP/ISP證 備案號(hào):B1-20180452   豫公網(wǎng)安備 41019702002018號(hào)    電子營業(yè)執(zhí)照