渗透测试

渗透测试服务依托天目的安全积累,在用户授权下,模拟黑客的入侵思路与技术手段,采用可控、非破坏性质的方法和手段对系统进行深入的安全检测。先于黑客发现系统存在的风险威胁与漏洞,协助管理者第一时间发现和修复系统存在的风险与漏洞。

服务优势

丰富经验

我们确信安全专家的经验是扫描器所不可替代的。为了保证效果,我们的每一次渗透测试都是由安全专家手动实施。

快捷高效

提供简单直观的界面管理,服务的价格体系可满足各种客户不同规模的服务需求。

专业建议

我们的专家团队拥有丰富的安全行业经验,在渗透测试完成后,还会提出可实施性强的专业修复建议,帮助用户真正解决安全问题。

专业安全团队

根据客户实际情况,在评估开始前制定相应的应急预案,控制在评估过程中引发的风险,把渗透测试带来的影响降到最低。

服务项目

WEB及应用测试

1.默认误用漏洞 2.功能逻辑漏洞 3.编码漏洞 4.信息泄露漏洞

1.默认误用漏洞

包括Web应用使用的操作系统以及Web应用程序本身的安全漏洞、错误或默认配置可以被利用的漏洞。

2.功能逻辑漏洞

包括业务流程,认证授权方面的逻辑代码等问题。

3.编码漏洞

包含SQL注入漏洞、跨站、源代码泄露、缓冲区溢出等常见漏洞。

4.信息泄露漏洞

由于异常没有处理或者其他原因造成了系统信息的泄漏,以及未设置正确的访问控制措施导致用户可以直接目录遍历或者直接访问浏览。

APP渗透测试培训

1.系统管理密码 2.FTP密码 3.应用系统密码 4.远程管理工具的密码

1.系统管理密码

2.FTP 密码

3.应用系统密码(通常在配置文件可以查看到)

4.远程管理工具的密码,如 PcAnywhere、Radmin、VNC等将这些密码做成字典,然后对目标机器进行扫描,测试系统密码账户策略。

缓冲区溢出测试

1.远程溢出 2.本地溢出

1.远程溢出

这是当前系统层面出现的频率最高、威胁最严重,同时又是最容易实现的一种渗透方法,一个具有一般网络知识的入侵者就可以在很短的时间内利用现成的工具实现远程溢出攻击,因此远程溢出测试是渗透测试过程的重要环节。

2.本地溢出

本地溢出是指在拥有了一个普通用户的账号之后,通过一段特殊的指令代码获得管理员权限的方法。使用本地溢出的前提是首先要获得一个普通用户的密码。

ARP欺骗测试

1.ARP欺骗 2.其它攻击测试技术

1.DMZ区、生产区、办公区等内网经常发生ARP嗅探和ARP欺骗,并导致网络拥塞甚至中断或导致中间人攻击,是内网杀手之一。因此ARP攻击测试配合异常流量分析是内网渗透的一个重要环节。

2.其它攻击测试技术

社会工程学(测试人员安全,人员的安全意识等),物理安全测试、War Dialing、客户端攻击、拒绝服务攻击。