安全服務(wù)項(xiàng)
滲透測試服務(wù)由系統(tǒng)網(wǎng)絡(luò)安全測試、WEB應(yīng)用系統(tǒng)滲透測試、數(shù)據(jù)庫安全測試三項(xiàng)。
內(nèi)容描述
系統(tǒng)網(wǎng)絡(luò)安全測試:針對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng),提供弱口令檢測、權(quán)限提升測試、高危服務(wù)和端口測試、組件已知漏洞測試、Kernel內(nèi)核測試,及配置安全管理檢測。
應(yīng)用系統(tǒng)滲透測試:模擬惡意攻擊者行為,對應(yīng)用系統(tǒng)進(jìn)行滲透檢測,包括邏輯權(quán)限漏洞、組件已知漏洞、WEB主流漏洞的攻擊利用測試;或提供對新上線系統(tǒng)進(jìn)行安全性測試。
數(shù)據(jù)庫安全測試:對數(shù)據(jù)庫默認(rèn)配置進(jìn)行檢查,嘗試通過SQL注入、已知軟件漏洞進(jìn)行漏洞測試,發(fā)現(xiàn)數(shù)據(jù)庫權(quán)限設(shè)置和接入控制問題,對數(shù)據(jù)泄露進(jìn)行利用測試,檢查安全審計(jì)行為。
交付成果
《系統(tǒng)安全滲透測試報(bào)告》
參考標(biāo)準(zhǔn)
《OWASP Top 10_2017中文版V1.3》
《Web應(yīng)用安全聯(lián)合威脅分類標(biāo)準(zhǔn)》(The WASC Threat Classification v2.0)
《PTES滲透測試執(zhí)行標(biāo)準(zhǔn)》
《NIST-SP-800-115 Technical Guide to Information Security Testing and Assessment》(NIST-SP-800 信息安全測試與評估技術(shù)指南)