對客戶提供的域名與IP列表範圍進行網站進行模擬攻擊,並結合智慧工具掃描結果,由高階工程師進行深入的手工測試 和分析,識別工具弱點掃描無法發現的問題。主要分析內容包括邏輯缺陷、上傳繞過、輸入輸出校驗繞過、資料篡改、功能繞過、異常錯誤等以及其他專項內容測試與分析。
測試內容包括但不限於:
A. 資訊收集
l 掃描爬蟲、搜尋引擎、Dns 及域名資訊、github 導致的資訊洩露、郵件伺服器暴力破解與弱口令、域名安全導致的安 全問題、企業高層人員敏感資訊洩露、普通使用者敏感資訊洩露
B. 網路安全
漏洞掃描、拒絕服務漏洞、暴力破解、版本較低、補丁未及時修復、配置不當
C. 系統安全
ssh、mysql、svn、redis 等服務弱口令與暴力破解,系統服務補丁不全導致的安全問題,運維配置不當,未授權訪問 與敏感資訊洩露,伺服器埠掃描
D. 應用安全
SQL 注入漏洞,命令執行,xss 跨站指令碼漏洞,設計缺陷、配置缺陷、未授權訪問、邏輯問題,檔案任意上傳,csrf 漏 洞,拒絕服務漏洞,任意檔案讀取、檔案包含,後臺暴露、後臺弱口令、介面暴力破解,越權漏洞
E. 資料庫安全
Sql 注入,命令執行,版本較低、補丁未及時修復,配置不當
F. 資料安全
資產洩露,資訊洩露,未經授權訪問,越權訪問
G. 中介軟體安全
對中介軟體的具體滲透包括 weblogic、webspere 等
H. API 安全
登陸認證,認證授權,介面呼叫中的應用安全,訪問控制
根據測試結果,將按漏洞型別進行如下分類:
▼ 高危漏洞
直接可以獲取資料庫、伺服器許可權或者其他嚴重危害伺服器安全的業務邏輯漏洞,包括但不限於sql注入、上傳webshe ll、任意遠端命令執行、任意賬號密碼重置等漏洞。
▼ 中危漏洞
可以導致伺服器資料洩露以及破壞伺服器邏輯的漏洞,包括但不限於敏感資訊洩露、下載WEB服務原始碼、後臺弱口令、越權編輯他人資訊、儲存型XSS等漏洞。
▼ 低危漏洞
存在一定風險,但需要配合特別的場景需要進一步利用才能造成危害的漏洞。包括但不限於反射型XSS等漏洞。
聯絡我們
聯絡人:萬嗣超
QQ:882704
電話:13611684418
郵箱:service@pediy.com
公司地址:上海自由貿易試驗區張衡路 666 弄 1 號樓 601 室