渗透测试服务是对网站和服务器的全方位安全测试,通过模拟黑客攻击的手法,切近实战,提前检查系统的漏洞,然后进行评估形成安全报告。这种安全测试也被成为黑箱测试,类似于军队的“实战演习”,即没有网站代码和服务器权限的情况下,从公开访问的外部进行安全渗透。
我司拥有国内顶尖的专业渗透安全团队,有着未公开的漏洞信息库,大型社工库,透过渗透测试找到网站和服务器的漏洞所在,从而确保网站的安全、服务器安全的稳定运行。
渗透测试范围和内容:
网站安全渗透包括:SQL注射漏洞,cookies注入漏洞,文件上传截断漏洞,目录遍历漏洞,在线编辑器漏洞,网站身份验证过滤漏洞,PHP远程代码执行漏洞,数据库暴库漏洞,网站路径漏洞,XSS跨站漏洞,默认后台及弱口令漏洞,任意文件下载漏洞,网站代码远程溢出漏洞,文件包含漏洞,后台或者api接口安全认证绕过漏洞等等的安全渗透测试。
服务器安全渗透包括:内网渗透,FTP提权漏洞,SQL Server数据库提权,Mysql提权漏洞,linux本地溢出漏洞,替换系统服务漏洞,远程桌面认证绕过漏洞,端口映射漏洞,CC压力测试,DDOS压力测试,arp欺骗篡改页面测试,DNS欺骗漏洞,会话劫持漏洞,以及虚拟主机等众多应用程序系统的漏洞测试。
SQL注入:
检测网站是否存在SQL注入漏洞,如果存在该漏洞,攻击者对
注入点进行注入攻击,可轻易获得网站的后台管理权限,甚至网站服务器的管理权限。XSS跨站脚本,检测网站是否存在XSS跨站脚本漏洞。如果存在该漏洞,网站可能遭受Cookie欺骗、网页挂马等攻击,并可能导致用户资料泄露。
网站挂马:
检测网站是否被黑客入侵或恶意攻击者非法植入了木马程序,以及网站被挂黑链,百度快照木马,一句话挂马,数据库挂马等的安全检测。
上传漏洞:
检测网站的上传功能是否存在上传漏洞,如果存在此漏洞,攻击者可直接利用该漏洞上传木马,从而在网站上获取Webshell并进而控制网站。
缓冲区溢出:
检测网站服务器windows2003及Linux系统和服务器应用软件,
是否存在缓冲区溢出漏洞,如果存在,攻击者可通过漏洞,获得网站或服务器的管理权限。
网站管理地址泄露:
检测网站是否存在管理地址泄露功能,包括了使用默认的管理后台地址,例如:/admin /manage/dede /system 等等。如果存在此漏洞,攻击者可轻易获得网站的后台管理地址。
数据库泄露:
检测网站是否存在数据库泄露的漏洞,如果存在此漏洞,攻击者通过暴库等等方式,可以非法下载网站的数据库。
帐号弱口令:
检测网站的后台管理账号,以及前台管理账号,数据库root账号,服务器管理员账号是否存在使用弱口令的情况。
源代码泄露:
检测网站是否存在源代码泄露漏洞,如果存在此漏洞,攻击者可直接下载网站的源代码,并获取网站的数据库密码以及管理密码。检测网站的某些隐藏目录是否存在泄露漏洞,如果存在此漏洞,攻击者可了解网站的全部结构。张旭