渗透测试服务


奥远渗透测试服务:主要依据已经掌握的安全漏洞和安全检测工具,采用工具扫描 + 手工验证的方式。模拟黑客的攻击方法在客户的授权和监督下对客户的系统和网络进行非破坏性质的攻击性测试。

奥远漏洞扫描服务:协助客户采用漏洞扫描工具(需客户提供)对业务系统进行漏洞扫描,并提供安全加固建议。


渗透测试内容:


多线程竞争条件测试         资金查询越权测试    支付漏洞测试            用户信息完整性测试           请求重放测试           隐藏域测试

业务逻辑数据验证测         图形验证码测试       滑块验证码测试         完整性检查和中间人测试     文件上传测试           身份鉴别测试

短信和电子邮箱验证测试  账户权限变化测试    信息加密传输测试      默认口令与弱口令测试        账户锁定机制测试    会话管理测试

 Cookie属性测试             会话固定测试           功能与会话超时测试   输入验证测试                      XSS测试                  SQL注入测试

HTTP防篡改测试              XML注入测试          其他注入测试             错误处理测试                      CSRF测试                SSRF测试  

客户端URL定向测试         跨域资源共享测试     记住密码功能测试       密码策略测试                    目录遍历、文件包含测试  

可预测资源定位测试         权限提升测试            权绕测试


渗透测试流程:


Ø通知用户渗透工程师使用的IP地址 

Ø工具或人工检测,发现漏洞。

Ø人工复现,通过真实利用来证明其实际存在,进而证明控制措施及防御手段失效。

Ø出具渗透测试服务报告 

Ø与用户方沟通每一条漏洞报告产生的原因、确定处理该漏洞的责任人。

Ø用户方所有漏洞处理完毕后,进行第二轮复测。

Ø出具第二轮渗透测试报告。

Ø直至未发现漏洞。