安全服务

逆向渗透服务

      渗透测试,也叫白客攻击测试,它是一种从攻击者的角度来对主机系统的安全程度进行安全评估的手段,在对现有信息系统不造成任何损害的前提下,模拟入侵者对指定系统进行攻击测试。能以非常明显,直观的结果来反映出系统的安全现状。为了解客户主机系统的安全现状,在许可和控制的范围内,将对主机系统进行渗透测试。让组织机构清晰了解目前网络的脆弱性、可能造成的影响,以便采取必要的防护措施。

      测试范围:渗透测试的范围限制于经过客户以书面形式进行授权的主机,使用的手段也须经过客户的书面同意。承诺不会对授权范围之外的主机及网络设备进行测试和模拟攻击。

      测试内容以抽样测试的方式进行,在实施中会与客户具体协商。

渗透测试服务流程

      渗透测试是公司内部专业渗透工程师模仿黑客,针对授权企业网络进行安全检测的方法。这个检测过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这种分析是站在攻击者角度进行的主动性探测,因此会发现使用传统检测方法无法发现的攻击路径、攻击方法和技术弱点。

      具有专业化的渗透平台,平台中集合了:Metasploit、RFMON、NiktoAircrack-NG、GerixWifiCracker、Ophcrack、Kismet、Nmap、Ethercap、RFIDTools (RFID工具)、Wireshark(formerlyknownasEthereal)、BeEF(BrowserExploitationFramework)、Hydra、OWASPMantraSecurityFramework(一套基于FireFox的工具、插件和脚本)、ExploitationTools(攻击工具)、PrivilegeEscalation(用户提权)、MaintainingAccess(维护登录)、ReverseEngineering(逆向工程 CiscoOCSMassScanner(通过telnet以及默认密码扫描思科路由器)、InformationGathering(信息收集)、VulnerabilityAssessment(漏洞评定工具) Forensics(取证)Stresstesting(压力测试)等多种渗透工具。

      渗透工程师团队是经过培训和实践而组建起来的团队,他们需要通过如下一系列的学习培训与实践才可以为我们的客户提供服务:了解OWASP渗透测试指南,渗透测试的一般流程以及报告编写,使用VMware组建渗透测试环境,Nmap、nessus等网络扫描工具的介绍和使用,对网络设备、操作系统的检测和攻击测试,WEB 、DB、DNS等服务器的概念和和介绍,搭建简单的WEB + DB环境,不同WEB/DB组合类型的一般性渗透测试思路,AWVS,webcruiser,appscan,HPwebinspect等自动化扫描器的使用,BurpsuiteZAP等本地代理工具的介绍和使用,注入点的利用方法以及各种自动化注入工具的使用,中转注入的流程,解析漏洞的介绍,各种绕过上传的方法,PHP、JSP等脚本的LFI/RFI漏洞、代码执行漏洞的介绍和利用。XSS、CSRF等客户端的漏洞介绍和利用,WEBshell的介绍和使用方法。实战中对目标的预测试:信息收集,实战中渗透测试流程的制定和执行,实战中各种基于弱口令、社工等渗透测试技巧,实战中漏洞组合利用,实战中批处理、VBS等小脚本的使用技巧,实战中LCX类反弹、代理工具的使用技巧,获取到WEBshell之后对系统信息、管理员信息的收集,基于系统漏洞的本地溢出提权介绍和利用,基于系统服务的提权利用,基于第三方软件漏洞的提权,渗透测试中证据保留,无授权渗透测试中的痕迹清除,WEB/系统权限的长期保留。

联系我们

热情  真实  专注

天津圣目信息安全技术股份有限公司

  • 天津市和平区拉萨道16号和平区电子商务大厦8层
  • +8622-59955105
  • info@suateam.com
  • www.suateam.com