服务内容
沟通准备阶段
- 确定测试范围
- 确定测试方案
- 确定响应流程
获得测试授权
信息收集阶段
- 操作系统类型识别
- 目标服务识别
- 端口识别
识别现有安全机制
渗透测试阶段
- WEB中间件渗透测试
- WEB业务逻辑渗透测试
- WEB应用渗透测试
- 服务器层渗透测试
- 移动端渗透测试
渗透测试细节
报告阶段
- 漏洞总结
- 建议修复
客户确认
复测阶段
- 加固修复
- 复测验证
复测报告结果
WEB中间件渗透测试中间件配置缺陷、中间件弱口令、weblogic反序列命令执行、Jboss反序列化命令执行、Websphere反序列化命令执行、Jenkins反序列命令执行、文件解析代码执行等
WEB业务逻辑渗透测试用户弱口令、会话标志固定攻击、平行越权访问、垂直越权访问、未授权访问、验证码缺陷等
WEB应用渗透测试SQL注入、跨站脚本攻击(XSS)、任意文件上传、任意目录遍历、源代码泄露、信息泄露、URL重定向、Json劫持、第三方组件安全、本地/远程文件包含、任意代码执行等
服务器层渗透测试域传送漏洞、Redis未授权访问、MangoDB未授权访问、操作系统弱口令、数据库弱口令、本地权限提升、应用防护软硬件缺陷等
移动端渗透测试客户端程序安全、敏感信息安全、密码软键盘安全性、安全策略设置、手势密码安全性、进程保护、通信安全、业务功能测试等