网络渗透测试

IT公司每天都面对着各种内部和外部恶意用户及攻击者,因此只能不断增强、维护和改善内部网络。虽然知道防御系统能有效抵挡攻击者,但仍将不断加固安全防御作为当务之急。

威联科技会专门抽出时间来详细了解客户的业务,并且站在攻击者角度考虑他们会采用哪种攻击手段。这样我们既可以对客户有综合全面的认识,又能对技术有充分的了解。根据预定目标,我们首先要识别出最薄弱的环节,然后逐级识别,在攻破一个或多个防御系统后,我们就可以获得信息或系统的访问权限。

我们采用的测试方法是自动测试与手动测试相结合的综合法,用以评估客户的外部和内部信息资产、网络和安全设备,先网络犯罪人员一步识别漏洞。我们的评估还包括漏洞利用阶段,这样能让客户更身临其境地了解漏洞的风险。

我们的测试服务由在防御和攻击方面有着丰富经验的高级网络安全分析工程师和渗透测试工程师提供。

网络渗透测试

渗透测试方法

我们的测试方法是依托OWASP测试指南和开源安全测试方法手册(OSSTMM)设计形成的一套方案流程:

网络渗透测试

网络渗透测试的测试对象是什么?

网络渗透测试工作主要包括以下三个阶段:

主动和被动侦查

这个阶段的工作主要是信息收集,识别底层组件信息,比如操作系统、正在运行的服务、软件版本等。下面是待测试项目的不完全列表,我们借此可以模拟设计更严谨的攻击方案,提升攻击成功率:

●开放域搜索
●DNS调查
●公共信息检索(搜索引擎、社交网络、新闻组等)
●网络枚举
●端口扫描、操作系统指纹识别和版本检测
●防火墙枚举


漏洞识别

除了CWE/SANS公布的危险性最高的25个软件错误 和 OWASP公布的危险性最高的十个漏洞外,此次评估我们还会依据漏洞库里的80’000多种漏洞对web应用程序进行匹配,同时开展配置检查。威联科技将部署多个漏洞扫描器,再辅之以人工检测,对web应用程序和可通过网络访问的服务进行测试,比如:邮件、FTP、SMB、SSH、DNS等,以识别是否存在以下类型的漏洞(不完全列表):

服务端漏洞

远程代码执行

缓冲区溢出

代码注入

WEB应用漏洞

网络操纵和漏洞

虚拟局域网跳跃攻击

APP欺骗攻击

VSRP/VRRP中间人攻击MiTM

路由协议MiMT

身份识别和验证弱点

默认用户名和密码

安全水平较弱易于猜测的凭证



提 权

竞态条件

内核攻击

高权限程序和服务的本地利用



漏洞利用

安全分析工程师将采用综合法(自动化和手动测试方法相结合)利用“漏洞挖掘”阶段识别的漏洞以可控方式获取目标系统的访问权。

网络渗透测试

通过我们的服务您可以获得什么?

最终报告中将阐述各项评估结果,并根据IT和网络安全国际标准对优点/缺点进行对比。我们会对识别的弱点进行评估,同时提出相应的建议和补救措施,并根据相关风险等级进行排序。向客户口头汇报评估结果时,双方将对最终报告进行讨论。报告将对已开展的安全审计或渗透测试工作做一个全面透彻的总结。此外,报告还将详细阐述评估结果,并基于此展开相应论述并提出建议,以便进一步完善安全管理措施。

网络渗透测试

安全和渗透测试证书

威联科技安全顾问和渗透测试工程师都拥有网络安全和渗透测试领域最具含金量的证书,比如:CREST CRT、SANS/GIAC GXPN、GPEN、 GWAPT、GCIH、GMOB、OSCP、CEH、CISSP、CISA等!

网络渗透测试

更多证书,请点击

www.suchenhui.com
友情链接:大发快3走势图  大发快3网址  大发快3网站  大发快3  大发快3规律  大发快3网址  大发快3官网  大发快3  大发快3计划  大发快3官网