公司首页
供应商机
关于我们
公司动态
荣誉认证
招聘中心
客户案例
产品知识
联系方式
服务方式人工渗透测试
安全保障主动防御
保障解决不掉退
服务地区全国
APP安全防护支持
SINESAFE渗透测试是对网站和服务器的安全测试,通过模拟攻击的手法,切近实战,提前检查网站的漏洞,然后进行评估形成安全报告。这种安全测试也被成为黑箱测试,类似于的“实战演习”,即没有网站代码和服务器权限的情况下,从公开访问的外部进行安全渗透。 我们拥有国内的渗透安全团队,从业信息安全十年,有着未公开的漏洞信息库,大型社工库,透过渗透测试找到网站和服务器的漏洞所在,从而确保网站的安全、服务器安全的稳定运行。渗透测试,是为了网络防御按照预期计划正常运行而提供的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所有补丁都已打上。如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?因为,渗透测试能够立地检查你的网络策略,换句话说,就是给你的系统安了一双眼睛。而且,进行这类测试的,都是寻找网络系统安全漏洞的人士。
渗透测试 (penetration test)并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
换句话来说,渗透测试是指渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告,可以清晰知晓系统中存在的安全隐患和问题。
我们认为渗透测试还具有的两个显著特点是:渗透测试是一个渐进的并且逐步深入的过程。渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。
作为网络安全防范的一种新技术,对于网络安全组织具有实际应用价值。但要找到一家合适的公司实施渗透测试并不容易。
有关渗透测试的合同或工作说明应该包括你从所得报告中想要获得的各个方面。如果你请人进行有限的测试,得到的只是计算机生成的报告。而渗透测试的真正价值在于由报告所出的分析。进行测试的一方会详细介绍发现结果,并说明其重要性。在有的地方,测试人员还会提议采取何种补救方法,譬如更新服务器、禁用网络服务、改变防火墙规则等等。
如今,大多数攻击进行的是基本的漏洞扫描,如果攻击得逞,目标就岌岌可危。如果攻击者企图对你站点进行漏洞扫描,他就会获得大量的防火墙日志消息,而网络的任何入侵检测系统(IDS)也会开始发送有关当前攻击的警报。如果你还没有试过,不妨利用漏洞扫描器结合IDS对网络来一番试验。别忘了首先获得对方的许可,因为,运行漏洞扫描器会使IDS引发警报。
此外,你还要提供合适的测试途径。如果你想测试在非军事区(DMZ)里面的系统,好的测试地方就是在同一个网段内测试。让渗透测试人员在防火墙外面进行测试听起来似乎更实际,但内部测试可以大大提高发现防火墙原本隐藏的服务器安全漏洞的可能性。因为,一旦防火墙设置出现变动,就有可能暴露这些漏洞,或者有人可能通过漏洞,利用一台DMZ服务器攻击其它服务器。还记得尼姆达病毒吗?它就是攻击得逞后、利用一台Web服务器发动其它攻击的。
普通的测试服务和漏洞扫描工具只能发现常规性的漏洞,而对于系统深层次的漏洞和业务逻辑漏洞一般扫描器是无法探测到的,因此需要选择人工安全渗透测试服务来对业务系统做更深层次、更全面的安全检查。
哈尔滨项目漏洞查找
