高级渗透测试

服务介绍

     针对应用系统,从攻击者的视角,模拟黑客所使用的攻击手段对目标系统进行模拟入侵,以充分挖掘和暴露系统的弱点,从而让管理人员了解其系统所面临的威胁。

 

测试对象:B/S系统、C/S系统、微信服务号、微信小程序

测试视角:攻击者角度,外部黑盒测试

测试方法:模拟黑客手法,根据黑客攻击手法的发展而变化+漏洞修复后的回归测试

测试目标:充分挖掘和暴露系统弱点

 

测试流程:

444.png


测试内容:

     常规漏洞:

     SQL注入、跨站脚本攻击、XML外部实体注入、跨站请求伪造、服务器请求伪造、任意文件上传、任意文件下载或读取、任意目录遍历、.svn/.git源代码泄露、信息泄露、CRLF注 .       入、命令执行注入、 URL重定向、 Json劫持、第三方组件安全、本地/远程文件包含、反序列化漏洞、RCE漏洞等

     业务逻辑安全:

     用户名枚举、用户密码枚举、用户弱口令、会话标志固定攻击、平行越权访问、垂直越权访问、未授权访问、验证码缺陷等

     权限漏洞:

     应用提权、Linux提权、Android提权、Windows提权、CMS提权等

 

测试工具:

     自动化扫描工具:

     极光、Nessus、AWVS、AppScan、OpenVAS、W3af等

     端口扫描、服务检测:

     Nmap、Dmitry、Zmap等

     密码、口令破解:

     Hydra、L0phtcrack、MD5 Crack、Cain等

     嗅探分析工具:

     Ethereal、Entercap、Dsniff等

     协议分析工具:

     BurpSuite、Fiddler、WireShark等

     Exploiting 利用工具:

     Metasploit Framework、Pocsuite、Canvas等

     逆向分析工具:

     IDA、OllyDBG、Any.Run等

 

测试交付物:

     高级渗透测试报告

     安全专家一对一服务汇报

     现场加固支持

     三个月应急响应服务