渗透测试服务
安全服务
IT公司每天都面对着各种内部和外部恶意用户及攻击者,因此只能不断增强、维护及改善内部网络。虽然知道防御系统能有效抵挡攻击者,但仍将不断加固安全防御作为当务之急。
威联科技会专门抽出时间来详细了解客户的业务,并且站在攻击者角度考虑他们会采用哪种攻击手段。这样我们既可以对客户有综合全面的认识,又能对技术有充分的了解。
根据预定目标,我们首先要识别最薄弱的环节,然后逐级识别,在攻破一个或多个防御系统后,我们就可以获得信息或系统的访问权限。
我们采用自动及人工测试相结合的方法开展漏洞评估及渗透测试(VAPT)服务。我们首先会尝试利用已识别漏洞以安全可控的方式获取防火墙、网络及相应设备、服务器、物联网、网上应用系统及其他连接点的访问权限。若我们成功利用了一个漏洞,安全分析师就会尝试继续挖掘利用,以便获取更高访问权限,使用更多电子资产和信息,进而增加立足点。
渗透测试的类型
黑盒测试是在不了解待测试系统内部工作原理、源代码和系统架构的前提下对系统展开测试的方法。这种测试方法可以更真实地模仿攻击者,了解他们一般如何对应用发起攻击。但是,由于不了解内部应用工作原理,所以缺陷及/或漏洞检测比较费时费力,并且不会完全了解应用的安全状况。
灰盒测试是在对系统内部工作原理有一定认识的前提下对系统开展测试的方法。这里对内部工作原理的了解通常也只限于应用的URL及与用户职位相对应的用户凭证。灰盒测试可以基于对目标系统的预先了解理清各项工作的轻重主次,做好工作规划。加深对系统可以让检测工作事半功倍,在大幅减少工作量的同时识别出更多重大漏洞,并且可以让分析工程师更近距离地分析理解攻击者在应用评估方面相比安全专业人员具有的优势。渗透测试工程师可以通过注册测试对web应用程序进行全面评估,检测是否存在潜在漏洞。此外,测试工程师在这个阶段要检查是否存在可能导致纵向和横向提权的应用权限弱点。
威联科技可对web应用开展以下形式的web应用渗透测试:
白盒测试是在对目标系统全面了解的情况下开展测试的方法。威联科技的白盒渗透测试服务由灰盒测试+安全代码审核构成。这类评估可以对应用及基础架构的安全状态有全面的了解。
Web应用程序的测试方法
最终报告中将阐述各项评估结果,并根据IT和网络安全国际标准对优点/缺点进行对比。我们会对识别的弱点进行评估,同时提出相应的建议和补救措施,并根据相关风险等级进行排序。向客户口头汇报评估结果时,双方将对最终报告进行讨论。报告将对已开展的安全审计或渗透测试工作做一个全面透彻的总结。此外,报告还将详细阐述评估结果,并基于此展开相应论述并提出建议,以便进一步完善安全管理措施。
渗透测试最新项目
软件开发公司
志愿者管理系统(VMS)及其管理门户的Web应用黑盒渗透测试。
2020
移动应用安全性评估与董事会管理软件Web应用渗透测试相结合。
电力天然气配送公司
2020
对消费者使用的三个保险门户网站的Web应用程序渗透测试。
跨国保险公司
2020
关于威联科技VAPT项目的完整清单,请访问网址:
我们的渗透测试认证资质
威联科技安全顾问和渗透测试工程师都拥有网络安全和渗透测试领域最具含金量的证书,比如:CREST CRT、SANS/GIAC GXPN、GPEN、 GWAPT、GCIH、GMOB、OSCP、CEH、CISSP、CISA等!
渗透测试的阶段是什么?
我们的漏洞评估和渗透测试(VAPT)工作主要包括三个阶段:
主动和被动侦察
· 开放域名搜索
· DNS调查
· 公共信息搜索(搜索引擎、社交网络、新闻组等)
· 网络枚举
· 端口扫描、操作系统指纹识别和版本扫描
此阶段的工作主要是信息收集,识别相关组件信息,例如操作系统、正在运行的服务、软件版本等。以下为受测试项目的不完全列表,我们藉此可以模拟设计更严谨的攻击方案,提升攻击成功率:
除了CWE/SANS公布的危险性最高的25个软件错误 and OWASP公布的危险性最高的十个漏洞外,此项评估还会依据漏洞库中的80,000多种漏洞评估信息资产,同时进行配置检查。威联科技将部署多个漏洞扫描仪,再辅之以人工检测,对可透过网络接达的服务进行测试,如SMTP、HTTP、FTP、SMB、SSH、SNMP、DNS等,以识别是否存在以下类型的漏洞(不完全列表):
漏洞识别
服务端利用
· 远程代码执行
· 缓冲区溢出
· 代码注入
· Web应用漏洞(XSS、SQLi、XXE、CSRF、LFI、RFI等)
· VLAN跳跃攻击
· ARP欺骗
· HSRP/VRRP中间人攻击(MiTM)
· 路由协议MiTM
网络炒作及利用
· 默认用户名和密码
· 安全水平较弱且易于猜测的用户凭据
身份识别及认证弱点利用
· 竞争条件
· 内核攻击
· 高特权的程序或服务的本地利用
提权
安全分析工程师将采用自动及人工测试相结合的方法,利用「漏洞识别」阶段识别的漏洞,以可控方式获取目标系统的访问权限。
漏洞利用
北京威联科技有限公司是威联集团的成员,是一家全球CREST认证的渗透测试服务供应商,拥有CREST认证的渗透测试成员,主要覆盖亚洲、欧洲和中东地区。
视频播放失败,请联系站点管理员!
北京威联科技有限公司隶属于威联控股集团。除了我们位于瑞士的公司总部之外,我们还在美国、新加坡、马来西亚、墨西哥、德国和巴西开设了分公司,能够实现“日不落”的模式提供服务。
关于我们
联系客服
关注公众号