赂脽路脌路镁脦帽脝梅 赂脽路脌路镁脦帽脝梅


经典解决方案
  • 游戏行业安全解决方案
  • 棋牌游戏安全解决方案
  • 金融防护解决方案
  • 电商云解决方案
  • 网站高防解决方案
  • 移动APP解决方案

企业及网站存在机密资料外泄、用户资料外泄的担忧;

用户开发完毕的新系统平台需要上线;

开发过程中系统需要进行局部安全测试;

业务系统存在交易业务逻辑问题(如金融类系统)。

安全渗透

渗透测试    渗透测试是对网站和服务器的全方位安全测试,通过模拟黑客攻击的手法,切近实战,提前检查网站的漏洞,然后进行评估形成安全报告。这种安全测试也被成为黑箱测试,类似于军队的“实战演习”,即没有网站代码和服务器权限的情况下,从公开访问的外部进行安全渗透。 我们拥有国内顶尖的专业渗透安全团队,从业信息安全十年,有着未公开的漏洞信息库,大型社工库,透过渗透测试找到网站和服务器的漏洞所在,从而确保网站的安全、服务器安全的稳定运行。
 
渗透测试范围和内容
    网站安全渗透包括,SQL注射漏洞,cookies注入漏洞,文件上传截断漏洞,目录遍历漏洞,URL跳转漏洞,在线编辑器漏洞,网站身份验证过滤漏洞,PHP远程代码执行漏洞,数据库暴库漏洞,网站路径漏洞,XSS跨站漏洞,默认后台及弱口令漏洞,任意文件下载漏洞,网站代码远程溢出漏洞,修改任意账号密码漏洞,程序功能上的逻辑漏洞,任意次数短信发送、任意手机号码或邮箱注册漏洞后台或者api接口安全认证绕过漏洞等等的安全渗透测试。

 

 

    服务器安全渗透包括,内网渗透,FTP提权漏洞,SQL Server数据库提权,Mysql提权漏洞,linux本地溢出漏洞,替换系统服务漏洞,远程桌面认证绕过漏洞,端口映射漏洞,CC压力测试,DDOS压力测试,arp欺骗篡改页面测试,DNS欺骗漏洞,会话劫持漏洞,以及虚拟主机等众多应用程序系统的漏洞测试。
 

服务形式
将采用国际标准的预攻击、攻击和后攻击三个阶段:
 
预攻击阶段主要指一些信息收集和漏洞扫描的过程;
 
攻击过程主要是利用第一阶段发现的漏洞或弱口令等脆弱性进行入侵;
 
后攻击是指在获得攻击目标的一定权限后,对权限的提升、后门安装和痕迹清除等后续工作。
 
同时结合社会工程学、密码库等高级方法进行攻击测试

方案内容

渗透测试

SQL注入:
    检测网站是否存在SQL注入漏洞,如:INT型注入和String型注入,盲注、报错注入、编码宽字节注入、二次Urldecode注入、如果存在该漏洞,攻击者对注入点进行注入攻击,注入攻击是对数据库直接操作,可轻易获得网站的后台管理权限,甚至网站服务器的管理权限。并可能导致用户资料泄露。重要的敏感信息泄漏,SQL 注入可获取大量企业核心业务数据等接口问题引起的敏感信息泄露。

 

严重的逻辑设计漏洞:
    包括批量修改任意账号密码漏洞、提现密码任意修改,撤单漏洞,订单篡改漏洞,找回密码漏洞,任意查询用户信息漏洞(姓名,手机号,邮箱,身份证),银行卡号信息任意更改,任意次数短信发送、任意手机号码或邮箱注册漏洞,账号普通越权操作修改其他用户密码,绕过限制修改用户资料、执行用户操作等,后台或者api接口安全认证绕过漏洞涉及企业核心业务的逻辑漏洞。

 渗透测试

 

直接获取系统权限的漏洞:
    (服务器权限、客户端权限)包括远程命令执行、任意代码执行、上传获取Webshell、SQL注入获取系统权限、缓冲区溢出(包括可利用的ActiveX缓冲区溢出)敏感信息越权访问,包括但不仅限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的SSRF等。

 

文件上传操作漏洞:
    检测网站的上传功能是否存在上传漏洞,包含move_uploaded_file()上传函数测试有没有安全过滤,文件头、content_type验证绕过,绕过上传文件格式(asp,php,jsp.等脚本文件),绕过上传的目录,文件操作漏洞(文件包含漏洞,本地文件包含,远程文件包含,文件包含截断,任意文件读取,文件任意删除漏洞)如果存在此漏洞,攻击者可直接利用该漏洞上传木马从而在网站上获取Webshell并进而控制网站,也可以破坏网站,危害较严重。。

 

XSS跨站漏洞:
    检测网站是否存在反射性XSS,存储性XSS漏洞,XXS漏洞经常出现在文章发表,评论回复,留言,个人资料设置,发送信件,注册资料等等程序功能上,常用的输入函数列表:print、print_r、echo、printf、sprintf、die、var-dump、var_export,等函数列表里进行漏洞测试,XSS跨站攻击,会窃取用户cookies、利用CSRF漏洞进行跨站请求伪造,劫持用户或者管理员的身份进行网站提权,上传木马后门,添加管理员账号,修改网站配置。

 

源代码泄露:
    检测网站是否存在源代码泄露漏洞,如果存在此漏洞,攻击者可直接下载网站的源代码。并获取网站的数据库密码以及管理密码。检测网站的某些隐藏目录是否存在泄露漏洞。如果存在此漏洞,攻击者可了解网站的全部结构。普通信息泄漏。包括客户端明文存储密码、以及web路径遍历、系统路径遍历等。

    普通的测试服务和漏洞扫描工具只能发现常规性的漏洞,而对于系统深层次的漏洞和业务逻辑漏洞一般扫描器是无法探测到的,因此需要选择人工安全渗透测试服务来对业务系统做更深层次、更全面的安全检查。

 
安全评估报告
· 根据不同的渗透测试结果,形成一套完整的安全报告。报告出所发现的最新漏洞以及修复方案。
· 根据发现的漏洞,分三个风险级别,高危,中等,低危三个等级。
· 我们不做黑客攻击,在洽谈合作时,需要提供网站和服务器的所有权证明。



服务案例


某电子商务系统验收渗透测试项目
渗透测试,根据权威的审计标准,对系统进行渗透测试,帮助客户发现系统中潜在的安全风险。

项目背景
该客户是一家杰出的IT软件制造商,主要从事银行业和商业/工业应用系统,是亚洲区首屈一指的银行软件开发商,曾获得香港最佳资讯科技公司及上海十大最具发展潜力公司等荣誉。
该客户给新加坡银行定制开发的项目存在安全问题,因此寻求第三方的专业系统安全检测和修复工作。

方案实施
安全团队承接了该项目后,针对性分析其系统架构,薄弱环节处等,定制了如下的实施方案:
  • 对系统进行全面的渗透测试,覆盖更多的测试点。
  • 根据国外客户方的需求,对暴露的安全问题进行同类深挖。
  • 针对发现的漏洞,提供修复方案,并进行整改后的系统回审。

项目成果
经过几周的努力,系统的检测和加固方案顺利完成,得到客户方的赞誉。具体成果如下:
  • 提升了项目整体的安全等级。
  • 发现了10多个潜在的安全漏洞。
  • 帮助进行加固和复测。

  • 24小时技术QQ:1767559921 24小时技术电话:13221000030
  • 公司总台电话:400-901-5608 售前咨询热线:0731-85380877
小蚁网络-小小 小蚁网络-马马 小蚁网络-蚁蚁 小蚁网络-杨过 小蚁网络-anyyx 小蚁网络-奕奕 小蚁网络-令狐冲 小蚁网络-东邪 小蚁网络-富富 小蚁网络-鬼脚七 小蚁网络-三丰 小蚁网络-风清扬 小蚁网络-技术 投诉与建议

投诉QQ :512360903
非法信息举报 :[email protected]
24小时网维支持 投诉与建议
故障申报、处理
24小时技术 24小时网管 企业技术支撑
域名白名单、信息安全、备案咨询
白名单审核周一至周六8:30-21:00 周日8:30-18:00 备案专员周一至周五8:30-18:00
财务续费、发票
财务续费直线:18073151018