渗透测试服务

我们提供的服务

服务器加固

找出服务器中存在的安全漏洞。按服务器检测是对传统安全弱点的串联并形成路径,终通过路径式的利用而达到模拟入侵的效果。 发掘应用中影响业务正常运行、导致敏感信息泄露、造成现金和信誉损失等漏洞,从而加固服务器安全。

防欺诈和防盗链

对侵权网站分三级管理。 一级是最高级别侵权,处理方式是在百度整体删除。 二级是次高级,证据不是太充足,百度不会删除,处理方式是排名 到百度5页以后。 三级是恶意评价等负面信息的, 处理方式是在百度删除负面信息

渗透测试

漏洞修复后,对修复方案和结果进行有效性评估,分析修复方案的有损打击和误打击风险,验证漏洞修复结果。 汇总漏洞修复方案评估结果,标注漏洞修复结果,更新并发送测试报告。

产品做渗透测试带来的好处!

避免业务安全隐患

技术层面定性的分析系统的安全性,串联系统安全隐患点,有效验证其存在性及其可利用程度,避免因安全漏洞造成业务损失

提供权威安全保障

出具专业系统安全检测报告,有效提升甲方单位或用户对系统安全的信任度,促进业务快速成交。

服务流程

提供服务的流程

签项目合同

填写表单:企业填写测试需求。 商务沟通:确定测试意向,签订合作合同

整理材料

收集材料:系统账号、稳定的测试环境、业务流程等。

项目执行

风险分析:熟悉系统,进行风险分析,设计测试风险点。 漏洞挖掘:安全测试专家分组进行安全渗透测试,提交漏洞。 报告汇总:汇总系统风险评估结果和漏洞,发送测试报告。

项目完结

漏洞修复:企业按照测试报告进行修复。 回归测试:双方依据合同结算测试费用,企业支付费用。

F.A.Q

快速解答疑问

  • 恶意代码排查不同于应急响应,他们的区别主要体现在服务的目标、对象和时间上的差异。应急响应的目标是快速处理安全事件、防范影响扩大。在控制安全事件影响的前提下,找出安全事件发生的原因,防微杜渐。

    应急响应是以发生安全事件为前提,针对事件内容处理该事件中涉及的直接对象,例如相关设备、服务器或网站系统等,而恶意代码排查,更多是非直接对象,是可能受到“二次入侵”的同网段其他设备、服务器或系统。

    对于时间而言,应急响应注重短时间内控制安全事件发生的范围,减少影响;而恶意代码排查则是需要对服务器、网站系统逐一检查和分析,并不要求短时间内完成。

  • 底层系统的安全设置,服务器系统后门和病毒的查杀以及主动防御,远程桌面军规化安全认证,系统漏洞修复,系统文件防篡改,系统服务安全设置,系统危险组件和注册表的加固,系统组策略安全设置,IP端口安全策略设置,网站文件夹权限安全设置,以及IIS,Nginx、Apache、Lnmp、JSP+Tomcat等环境的安全设置。深度防CC攻击和ARP攻击防御,Webshell、挂马清理,数据库安全设置及防篡改。

  • 对网站目录里的文件进行全面的检测和清理,对于一句话webshell、加密的网站木马,黑链木马,百度快照木马,图片类的脚本木马,进行有效的查杀和清理,global.asa木马,及以设备名字命名的文件进行强制的删除和清理,从而达到木马的永久删除。

  • 对服务器系统里的内核木马,和rootkit后门木马进行深度的挖掘和清理,sine安全木马主动防御策略对国内外流行的隐藏木马,删除自身木马和后门进行有效的查杀,系统内核文件和DLL系统文件进行了全面的防篡改和监控,达到以静制动,秒级的查杀!

  • 网站安全渗透包括,SQL注射漏洞,cookies注入漏洞,文件上传截断漏洞,目录遍历漏洞,URL跳转漏洞,在线编辑器漏洞,网站身份验证过滤漏洞,PHP远程代码执行漏洞,数据库暴库漏洞,网站路径漏洞,XSS跨站漏洞,默认后台及弱口令漏洞,任意文件下载漏洞,网站代码远程溢出漏洞,修改任意账号密码漏洞,程序功能上的逻辑漏洞,任意次数短信发送、任意手机号码或邮箱注册漏洞后台或者api接口安全认证绕过漏洞等等的安全渗透测试。

  • 检测网站是否存在反射性XSS,存储性XSS漏洞,XXS漏洞经常出现在文章发表,评论回复,留言,个人资料设置,发送信件,注册资料等等程序功能上,常用的输入函数列表:print、print_r、echo、printf、sprintf、die、var-dump、var_export,等函数列表里进行漏洞测试,XSS跨站攻击,会窃取用户cookies、利用CSRF漏洞进行跨站请求伪造,劫持用户或者管理员的身份进行网站提权,上传木马后门,添加管理员账号,修改网站配置。