薮猫科技渗透测试服务-用户案例
弧途科技-青团社渗透测试 专业安全服务保障客户系统安全
服务介绍
渗透测试主要通过模拟攻击者的技术和行为,对客户业务系统进行安全攻击测试,以人工渗透为主、 漏洞扫描工具 为辅,充分挖掘和暴露系统的弱点,从而让管理人员清晰知晓其系统中存在的安全隐患和问题,渗透结果主要以获取敏感信息和管理员权限为依据。本项目的渗透测试目标系统共 15 个,包含青团社的网站、小程序、APP 等平台。
实施流程
计划准备:根据工作说明书中薮猫科技定义的服务范围及内容获取测试授权申请书,对具体的测试人员信息、测试对象、测试方法、详细测试时间计划及测试风险告知等信息进行约定,并根据约定内容完成相关实施前提环境准备。输出《渗透测试服务授权书》、《渗透测试实施方案》。
信息收集:对渗透测试授权书中授权的测试目标进行信息收集,帮助确立可行的最佳攻击路径。信息收集的内容不仅包括采用网页搜索、第三方查询、Google hacking 等方法,还使用相关工具对目标的网络拓扑信息、应用指纹、端口服务等进行探测。收集到的相关信息整理,统一输出在《渗透测试报告》中。
脆弱性分析:对渗透测试授权书中授权的测试对象进行识别,使用人工收集及工具扫描方式对测试范围内的相关信息进行收集,包括但不限于目标系统软硬件环境信息、应用服务信息、漏洞信息、现有的防护等。并结合环境、漏洞、防护三要素进行综合分析,得出可行的最佳攻击路径。收集到的相关漏洞整理,统一输出在《渗透测试报告》中。
渗透执行:执行攻击测试,获取相关权限并记录测试过程,直到达到测试目标后进行测试清理收集到的相关信息整理,统一输出在《渗透测试报告》中。
分析报告:进行风险分析并形成报告,进行报告讲解,获取客户认可。收集到的相关漏洞整理,统一输出在《渗透测试报告》中。
项目验收:根据项目成果,薮猫科技和弧途科技青团社召开项目验收会议,对项目成果进行评审,并形成修订意见,对相关文档进行修订,最终使用客户进行交付签收。输出《项目验收确认书》。收集到的相关漏洞整理,统一输出在《渗透测试报告》中。
客户收益
发现 15 个目标系统的安全最短板,有效地了解了目前降低风险的初始任务;
以报告形式说明目前互联网系统的安全现状,从而增强企业内部信息安全的认知程度;
提高组织内成员的安全意识,有效识别安全风险,提升内部整体安全。
