安全服務

逆向滲透服務

      滲透測試,也叫白客攻擊測試,它是一種從攻擊者的角度來對主機系統的安全程度進行安全評估的手段,在對現有信息系統不造成任何損害的前提下,模擬入侵者對指定系統進行攻擊測試。能以非常明顯,直觀的結果來反映出系統的安全現狀。為了解客戶主機系統的安全現狀,在許可和控制的范圍內,將對主機系統進行滲透測試。讓組織機構清晰了解目前網絡的脆弱性、可能造成的影響,以便采取必要的防護措施。

      測試范圍:滲透測試的范圍限制于經過客戶以書面形式進行授權的主機,使用的手段也須經過客戶的書面同意。承諾不會對授權范圍之外的主機及網絡設備進行測試和模擬攻擊。

      測試內容以抽樣測試的方式進行,在實施中會與客戶具體協商。

滲透測試服務流程

      滲透測試是公司內部專業滲透工程師模仿黑客,針對授權企業網絡進行安全檢測的方法。這個檢測過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析,這種分析是站在攻擊者角度進行的主動性探測,因此會發現使用傳統檢測方法無法發現的攻擊路徑、攻擊方法和技術弱點。

      具有專業化的滲透平臺,平臺中集合了:Metasploit、RFMON、NiktoAircrack-NG、GerixWifiCracker、Ophcrack、Kismet、Nmap、Ethercap、RFIDTools (RFID工具)、Wireshark(formerlyknownasEthereal)、BeEF(BrowserExploitationFramework)、Hydra、OWASPMantraSecurityFramework(一套基于FireFox的工具、插件和腳本)、ExploitationTools(攻擊工具)、PrivilegeEscalation(用戶提權)、MaintainingAccess(維護登錄)、ReverseEngineering(逆向工程 CiscoOCSMassScanner(通過telnet以及默認密碼掃描思科路由器)、InformationGathering(信息收集)、VulnerabilityAssessment(漏洞評定工具) Forensics(取證)Stresstesting(壓力測試)等多種滲透工具。

      滲透工程師團隊是經過培訓和實踐而組建起來的團隊,他們需要通過如下一系列的學習培訓與實踐才可以為我們的客戶提供服務:了解OWASP滲透測試指南,滲透測試的一般流程以及報告編寫,使用VMware組建滲透測試環境,Nmap、nessus等網絡掃描工具的介紹和使用,對網絡設備、操作系統的檢測和攻擊測試,WEB 、DB、DNS等服務器的概念和和介紹,搭建簡單的WEB + DB環境,不同WEB/DB組合類型的一般性滲透測試思路,AWVS,webcruiser,appscan,HPwebinspect等自動化掃描器的使用,BurpsuiteZAP等本地代理工具的介紹和使用,注入點的利用方法以及各種自動化注入工具的使用,中轉注入的流程,解析漏洞的介紹,各種繞過上傳的方法,PHP、JSP等腳本的LFI/RFI漏洞、代碼執行漏洞的介紹和利用。XSS、CSRF等客戶端的漏洞介紹和利用,WEBshell的介紹和使用方法。實戰中對目標的預測試:信息收集,實戰中滲透測試流程的制定和執行,實戰中各種基于弱口令、社工等滲透測試技巧,實戰中漏洞組合利用,實戰中批處理、VBS等小腳本的使用技巧,實戰中LCX類反彈、代理工具的使用技巧,獲取到WEBshell之后對系統信息、管理員信息的收集,基于系統漏洞的本地溢出提權介紹和利用,基于系統服務的提權利用,基于第三方軟件漏洞的提權,滲透測試中證據保留,無授權滲透測試中的痕跡清除,WEB/系統權限的長期保留。

聯系我們

熱情  真實  專注

天津圣目信息安全技術股份有限公司

  • 天津市和平區拉薩道16號和平區電子商務大廈8層
  • +8622-59955105
  • [email protected]
  • www.ioeequ.live
贵州十一选五遗漏