测评服务
- 项目简介
- 测评范围
- 测评依据
- 测评指南
- 合作检测机构
- 证书查询
- 获证名录
-
项目简介
渗透测试(Penetration Testing)是由具备高技能和高素质的安全服务人员发起、并模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵。
渗透测试服务的目的在于充分挖掘和暴露系统的弱点,从而让管理人员了解其系统所面临的威胁。渗透测试工作往往作为风险评估的一个重要环节,为风险评估提供重要的原始参考数据。
-
测评范围
1、 信息收集:通过对网络信息收集分析,可以相应地、有针对性地制定模拟黑客入侵攻击的计划,以提高入侵的成功率、减小暴露或被发现的几率。
2、 Web应用测试
1)检查应用系统架构,防止用户绕过系统直接修改数据库;
2)检查身份认证模块,防止非法用户绕过身份认证;
3)检查数据库接口模块,防止用户获取系统权限;
4)检查文件接口模块,防止用户获取系统文件;
5)检查其他安全威胁。
3、 溢出测试(未明确授权不会进行此项测试):当测试人员无法直接使用帐户口令登陆系统时,也会采用系统溢出的方法直接获得系统控制权限。
4、其他测试:如暴力破解、网络嗅探等方法,来尝试获取用户名及密码。
测评依据
1、GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》
2、 GB/T 20271-2006《信息安全技术 信息系统通用安全技术要求》
3、OWASP Top 10
4、网络信息安全最佳实践
5、网络信息系统项目安全需求说明书
测评指南
-
合作检测机构
-
获证名录