• <li id="4ldke"><acronym id="4ldke"><u id="4ldke"></u></acronym></li>
    <em id="4ldke"><ruby id="4ldke"></ruby></em>

  • <rp id="4ldke"><object id="4ldke"><input id="4ldke"></input></object></rp>
  • <rp id="4ldke"><ruby id="4ldke"><u id="4ldke"></u></ruby></rp>
        1. 軍規級安全防護

          安全不僅是防火墻,是一份責任與態度,更是一份投入。
          用黑客思維構建安全防線,知己知彼百戰不殆!
          運籌帷幄 深耕安全十年
            “服務器被攻擊,由于團隊中沒有專業安全人員,2天沒有徹底處理好。經朋友介紹,我結識了Sine安全,一上午時間就把這臺服務器系統錯綜復雜的問題處理好,并做好安全策略部署,再未出現過緊急情況?!?
            電話:
            0532-87818300
            E-Mail:
            Safe@sinesafe.com
          當前位置:首頁>安全服務>安全滲透

          安全滲透

              滲透測試是對網站和服務器的全方位安全測試,通過模擬黑客攻擊的手法,切近實戰,提前檢查網站的漏洞,然后進行評估形成安全報告。這種安全測試也被成為黑箱測試,類似于軍隊的“實戰演習”,即沒有網站代碼和服務器權限的情況下,從公開訪問的外部進行安全滲透。 我們擁有國內頂尖的專業滲透安全團隊,從業信息安全十年,有著未公開的漏洞信息庫,大型社工庫,透過滲透測試找到網站和服務器的漏洞所在,從而確保網站的安全、服務器安全的穩定運行。
          滲透測試范圍和內容
              網站安全滲透包括,SQL注射漏洞,cookies注入漏洞,文件上傳截斷漏洞,目錄遍歷漏洞,URL跳轉漏洞,在線編輯器漏洞,網站身份驗證過濾漏洞,PHP遠程代碼執行漏洞,數據庫暴庫漏洞,網站路徑漏洞,XSS跨站漏洞,默認后臺及弱口令漏洞,任意文件下載漏洞,網站代碼遠程溢出漏洞,修改任意賬號密碼漏洞,程序功能上的邏輯漏洞,任意次數短信發送、任意手機號碼或郵箱注冊漏洞后臺或者api接口安全認證繞過漏洞等等的安全滲透測試。

           

              服務器安全滲透包括,內網滲透,FTP提權漏洞,SQL Server數據庫提權,Mysql提權漏洞,linux本地溢出漏洞,替換系統服務漏洞,遠程桌面認證繞過漏洞,端口映射漏洞,CC壓力測試,DDOS壓力測試,arp欺騙篡改頁面測試,DNS欺騙漏洞,會話劫持漏洞,以及虛擬主機等眾多應用程序系統的漏洞測試。

          滲透測試

          SQL注入:
              檢測網站是否存在SQL注入漏洞,如:INT型注入和String型注入,盲注、報錯注入、編碼寬字節注入、二次Urldecode注入、如果存在該漏洞,攻擊者對注入點進行注入攻擊,注入攻擊是對數據庫直接操作,可輕易獲得網站的后臺管理權限,甚至網站服務器的管理權限。并可能導致用戶資料泄露。重要的敏感信息泄漏,SQL 注入可獲取大量企業核心業務數據等接口問題引起的敏感信息泄露。

           

          嚴重的邏輯設計漏洞:
              包括批量修改任意賬號密碼漏洞、提現密碼任意修改,撤單漏洞,訂單篡改漏洞,找回密碼漏洞,任意查詢用戶信息漏洞(姓名,手機號,郵箱,身份證),銀行卡號信息任意更改,任意次數短信發送、任意手機號碼或郵箱注冊漏洞,賬號普通越權操作修改其他用戶密碼,繞過限制修改用戶資料、執行用戶操作等,后臺或者api接口安全認證繞過漏洞涉及企業核心業務的邏輯漏洞。

           

           

          直接獲取系統權限的漏洞:
              (服務器權限、客戶端權限)包括遠程命令執行、任意代碼執行、上傳獲取Webshell、SQL注入獲取系統權限、緩沖區溢出(包括可利用的ActiveX緩沖區溢出)敏感信息越權訪問,包括但不僅限于繞過認證直接訪問管理后臺、重要后臺弱密碼、獲取大量內網敏感信息的SSRF等。

           

          文件上傳操作漏洞:
              檢測網站的上傳功能是否存在上傳漏洞,包含move_uploaded_file()上傳函數測試有沒有安全過濾,文件頭、content_type驗證繞過,繞過上傳文件格式(asp,php,jsp.等腳本文件),繞過上傳的目錄,文件操作漏洞(文件包含漏洞,本地文件包含,遠程文件包含,文件包含截斷,任意文件讀取,文件任意刪除漏洞)如果存在此漏洞,攻擊者可直接利用該漏洞上傳木馬從而在網站上獲取Webshell并進而控制網站,也可以破壞網站,危害較嚴重。。

           

          XSS跨站漏洞:
              檢測網站是否存在反射性XSS,存儲性XSS漏洞,XXS漏洞經常出現在文章發表,評論回復,留言,個人資料設置,發送信件,注冊資料等等程序功能上,常用的輸入函數列表:print、print_r、echo、printf、sprintf、die、var-dump、var_export,等函數列表里進行漏洞測試,XSS跨站攻擊,會竊取用戶cookies、利用CSRF漏洞進行跨站請求偽造,劫持用戶或者管理員的身份進行網站提權,上傳木馬后門,添加管理員賬號,修改網站配置。

           

          源代碼泄露:
              檢測網站是否存在源代碼泄露漏洞,如果存在此漏洞,攻擊者可直接下載網站的源代碼。并獲取網站的數據庫密碼以及管理密碼。檢測網站的某些隱藏目錄是否存在泄露漏洞。如果存在此漏洞,攻擊者可了解網站的全部結構。普通信息泄漏。包括客戶端明文存儲密碼、以及web路徑遍歷、系統路徑遍歷等。

              普通的測試服務和漏洞掃描工具只能發現常規性的漏洞,而對于系統深層次的漏洞和業務邏輯漏洞一般掃描器是無法探測到的,因此需要選擇人工安全滲透測試服務來對業務系統做更深層次、更全面的安全檢查。

          安全評估報告
          · 根據不同的滲透測試結果,形成一套完整的安全報告。報告出所發現的最新漏洞以及修復方案。
          · 根據發現的漏洞,分三個風險級別,高危,中等,低危三個等級。
          · 我們不做黑客攻擊,在洽談合作時,需要提供網站和服務器的所有權證明。
          在线观看欧美精品午夜,欧美精品A视频,国内精品性爱≥偷拍A片,日韩精品丝袜在线