技术

渗透测试服务 在客户授权的情况下，由经验丰富的安全顾问/专家尽可能完整地模拟黑客使用漏洞发现技术和攻击手段，从而找出信息系统中存在的缺陷和漏洞，并根据测试结果提出相应的整改加固建议，协助用户完成整改加固实施，最终提高用户网上业务系统的安全水平。

服务内容

应用场景

客户需求

主要包括SOL注入、跨站脚本、CSRF、SSRF、任意文件上传、XML外部实体(XXE)注入、任意文件下载或读取、任意目录遍历、.svn/git源代码泄露、信息泄露等，第三方组件主要包括Fwebeditor、FCKeditor、UeditorJOuerv等常用第三方组件、本地/远程文件包含漏洞、任意代码执行、反序列化命令执行等。

业务逻辑安全

包括用户名枚举、用户密码枚举、用户弱口令、会话标志固定攻击、平行越权访问、垂直越 权访问、未授权访问、验证码缺陷等

中间件安全

包括中间件配置缺陷、中间件弱口令、Webloigc反序列化命令执行、Jboss反序列化命令执行、Websphere反序列化命令执行、Jenkins反序列命令执行、JBOSS远程代码执行、文件解析代码执行等。

服务器安全

包括域传送漏洞、Redis未授权访问、MangoDB未授权访问、操作系统弱口令、数据库弱口令、本地权限提升、已存在的脚本木马、应用防护软硬件缺陷等。