看雪網站滲透測試服務

Editor發表於2018-01-25
 

對客戶提供的域名與IP列表範圍進行網站進行模擬攻擊,並結合智慧工具掃描結果,由高階工程師進行深入的手工測試 和分析,識別工具弱點掃描無法發現的問題。主要分析內容包括邏輯缺陷、上傳繞過、輸入輸出校驗繞過、資料篡改、功能繞過、異常錯誤等以及其他專項內容測試與分析。

 

測試內容包括但不限於:

 

A. 資訊收集

 

l 掃描爬蟲、搜尋引擎、Dns 及域名資訊、github 導致的資訊洩露、郵件伺服器暴力破解與弱口令、域名安全導致的安 全問題、企業高層人員敏感資訊洩露、普通使用者敏感資訊洩露

 

B. 網路安全

 

漏洞掃描、拒絕服務漏洞、暴力破解、版本較低、補丁未及時修復、配置不當

 

C. 系統安全

 

ssh、mysql、svn、redis 等服務弱口令與暴力破解,系統服務補丁不全導致的安全問題,運維配置不當,未授權訪問 與敏感資訊洩露,伺服器埠掃描

 

D. 應用安全

 

SQL 注入漏洞,命令執行,xss 跨站指令碼漏洞,設計缺陷、配置缺陷、未授權訪問、邏輯問題,檔案任意上傳,csrf 漏 洞,拒絕服務漏洞,任意檔案讀取、檔案包含,後臺暴露、後臺弱口令、介面暴力破解,越權漏洞

 

E. 資料庫安全

 

Sql 注入,命令執行,版本較低、補丁未及時修復,配置不當

 

F. 資料安全

 

資產洩露,資訊洩露,未經授權訪問,越權訪問

 

G. 中介軟體安全

 

對中介軟體的具體滲透包括 weblogic、webspere 等

 

H. API 安全

 

登陸認證,認證授權,介面呼叫中的應用安全,訪問控制

 

根據測試結果,將按漏洞型別進行如下分類:

 

▼ 高危漏洞

 

直接可以獲取資料庫、伺服器許可權或者其他嚴重危害伺服器安全的業務邏輯漏洞,包括但不限於sql注入、上傳webshe ll、任意遠端命令執行、任意賬號密碼重置等漏洞。

 

▼ 中危漏洞

 

可以導致伺服器資料洩露以及破壞伺服器邏輯的漏洞,包括但不限於敏感資訊洩露、下載WEB服務原始碼、後臺弱口令、越權編輯他人資訊、儲存型XSS等漏洞。

 

▼ 低危漏洞

 

存在一定風險,但需要配合特別的場景需要進一步利用才能造成危害的漏洞。包括但不限於反射型XSS等漏洞。

 

聯絡我們

 

聯絡人:萬嗣超
QQ:882704
電話:13611684418
郵箱:service@pediy.com
公司地址:上海自由貿易試驗區張衡路 666 弄 1 號樓 601 室

相關文章