产品说明
最近更新时间:2021.11.25 14:37:10
首次发布时间:2021.11.23 14:55:29
产品简介
什么是渗透测试
渗透测试是采用自动化安全扫描及人工渗透相结合的方式对应用系统进行全面的安全检测,挖掘应用系统中可能存在的安全风险及漏洞。渗透测试不仅能够帮助企业更直观的了解自身应用所面临的安全问题以及其应用系统的安全状况还能帮助企业提升应用系统的安全性。
无恒实验室安全服务专家,拥有丰富的业务安全测试经验。在保障业务安全的前提下,对企业给定的应用系统开展渗透测试,结合企业的业务特点,制定渗透测试方案。挖掘应用系统中的安全漏洞和潜在风险,使得企业能够提前发现漏洞、修复漏洞、提升系统安全等级,预防潜在恶意攻击。
渗透测试服务介绍
服务流程
服务阶段
| 阶段 | 输入 | 过程 | 输出 |
|---|---|---|---|
| 准备阶段 (前期沟通) | 客户输入 1.测试范围:企业指定测试的系统 (如:系统名称、系统域名、系统IP、 系统url等) 2.测试时间:企业确定测试开始时 间,根据目标规模大小和测试方案, 协商确定测试服务周期 3.注意事项:确定测试过程中的注 意点,如业务的高峰时间、敏感业 务范围等 服务方输入 1.项目经理 | 1.服务方评估工作量 2.双方沟通确定测试方案 3.项目启动会议 | 1.《项目实施方案》: 人员组织、项目进度计划、 风险管理、验收标准等 2.《保密协议》 3. 《授权书》 |
| 测试阶段 (渗透测试) | 客户输入 1.测试环境:如果有测试环境,可以 在测试环境中进行 2.测试账号 服务方输入 1.安全专家 | 1.信息搜集* 2.自动化扫描* 3.人工测试* | 1.《工作阶段性汇报》 |
| 总结阶段 (报告交付) | 无 | 1. 测试报告编写:根据测试成果 编写测试报告 2.修复加固建议:根据漏洞给出 修复及加固建议 3.报告内容沟通:交付渗透测试 报告,双方沟通报告内容 | 1.《渗透测试报告》 |
| 收尾阶段 (漏洞复测) | 无 | 1.漏洞复测:客户方修复系统漏 洞,服务方根据渗透测试报告进 行漏洞复测 2. 复测报告编写:根据复测结果 编写漏洞复测报告 | 1.《渗透测试复测报告》 |
注:带*项对应服务能力部分内容。
常见问题
如何避免渗透测试过程带来的业务风险?
- 优先考虑系统负载 :在信息搜集和整理环节,优先考虑受测网站或程序的基本参数,以便尽可能减少其在测试过程中受到的压力,保证稳定运转。
- 全程保持密切沟通 :测试前充分了解系统信息,测试中针对高危问题及时沟通,针对存在风险的测试行为,再次协商测试方案。
- 测试避免业务高峰 :根据目标系统的业务高峰时段进行演练方案规划,避免在高峰时期进行操作。
- 禁止破坏性的攻击 :禁止开展DDoS攻击、网页篡改、文件删除、大规模口令爆破、上传具有破坏性和感染性的木马/病毒/蠕虫的行为。
- 严格保密管理制度 :严格的内部保密制度、保密教育、保密协议等方式实现对企业相关机密信息的保密管理,文档权限进行严格控制。