奥远渗透测试服务:主要依据已经掌握的安全漏洞和安全检测工具,采用工具扫描 + 手工验证的方式。模拟黑客的攻击方法在客户的授权和监督下对客户的系统和网络进行非破坏性质的攻击性测试。
奥远漏洞扫描服务:协助客户采用漏洞扫描工具(需客户提供)对业务系统进行漏洞扫描,并提供安全加固建议。
渗透测试内容:
多线程竞争条件测试 资金查询越权测试 支付漏洞测试 用户信息完整性测试 请求重放测试 隐藏域测试
业务逻辑数据验证测 图形验证码测试 滑块验证码测试 完整性检查和中间人测试 文件上传测试 身份鉴别测试
短信和电子邮箱验证测试 账户权限变化测试 信息加密传输测试 默认口令与弱口令测试 账户锁定机制测试 会话管理测试
Cookie属性测试 会话固定测试 功能与会话超时测试 输入验证测试 XSS测试 SQL注入测试
HTTP防篡改测试 XML注入测试 其他注入测试 错误处理测试 CSRF测试 SSRF测试
客户端URL定向测试 跨域资源共享测试 记住密码功能测试 密码策略测试 目录遍历、文件包含测试
可预测资源定位测试 权限提升测试 权绕测试
渗透测试流程:
Ø通知用户渗透工程师使用的IP地址
Ø工具或人工检测,发现漏洞。
Ø人工复现,通过真实利用来证明其实际存在,进而证明控制措施及防御手段失效。
Ø出具渗透测试服务报告
Ø与用户方沟通每一条漏洞报告产生的原因、确定处理该漏洞的责任人。
Ø用户方所有漏洞处理完毕后,进行第二轮复测。
Ø出具第二轮渗透测试报告。
Ø直至未发现漏洞。
