产品优势
黑客视角
紧贴业务
覆盖全面
高效执行

安全专家团队

长期实战钻研于一线企业安全环境下的攻防专家,区别于传统测试,顶尖团队的精湛技术让渗透测试与众不同。

针对性更强

服务会根据业务提供一套专属的攻防方案,深入用户业务,贴近用户需求,快速安全分析,全面深度检测。

完善的测试方案

测试范围包括:系统、WEB应用、移动APP、网络/IoT/智能设备。

项目管理团队

渗透测试服务团队由数十位安全专家组成,优秀的安全人才是提供高质量安全服务管理的基础保障。

渗透测试分类

数据保护

确认数据是否安全,并尽快进行保护备份,防止事态进一步的严重。

能够做到

常规漏洞扫描

丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告

紧急漏洞扫描

针对紧急爆发的CVE漏洞,安全专家第一时间分析漏洞、更新规则,提供快速专业的CVE漏洞扫描

白盒测试

白盒测试

白盒测试(White-Box Testing)渗透者可以通过正常渠道向被测用户获取各种资料,目的是模拟企业内部雇员的越权操作,通常包括从组织外部和阻止内部两种方式进行渗透测试。

黑盒测试

黑盒测试(Black-Box Testing)是除测试目标已公开的信息外,用户不向渗透者提供任何其他信息,最初信息的获取来源为 DNS、Web、email 等对外公开的服务器。渗透者通常只从组织的外部进行渗透测试。

灰盒测试

灰盒测试 (Grey-Box Testing)是介于白盒测试与黑盒测试之间的一种测试。灰盒测试被测单位中仅有极少数人知晓测试的存在,渗透测试的目的是检测用户单位中信息安全事件的监控、响应、恢复是否到位。

安全加固

安全加固

封堵本次入侵的漏洞,并对服务器进行安全防御加固,和漏洞修复。保证服务器安全运行。

能够做到

多场景可用

全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测

丰富的弱密码库

丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测,同时支持自定义字典进行密码检测

建议搭配使用

数据加密服务 DEW

恢复数据

恢复数据

把所有被攻破的系统或网络设备还原到它们正常的任务状态。

能够做到

快速响应到位

实时响应,快速接入掌握情况

及时恢复业务

制定正确应对措施,帮助客户快速恢复业务

总结报告

总结报告

回顾并整合发生事件的相关信息,给出合理的建议。防止同样的事件再次发生。

能够做到

降低成本

不需要建立昂贵的SOC中心,可大幅降低安全运营成本

及时响应

快速获取7*24H的安全监控能力,可及时响应安全事件,快速恢复业务

Web应用程序渗透测试什么?

  • 注入式攻击

    用户在执行命令或查询时向web应用程序提交数据,这时就会发生基于网络的威胁,比如SQL注入、OS命令注入和LDAP注入。攻击者的恶意有效负荷会欺骗web应用程序执行计划外命令或者未经正确授权的情况下访问数据。

  • 跨站点脚本攻击

    若web应用在未经适当验证和转义的情况下接受用户通过网页提交的数据就可能会引发XSS攻击。攻击者可以利用跨站点脚本在用户浏览器上执行脚本,从而劫持用户会话,破坏网站,或者将用于重新指向恶意站点。

  • XML外部实体注入漏洞

    采用版本较低、配置较低的XML处理器对XML文件内外部实体引用进行评估。外部实体可借助文件URI处理程序、内部文件共享、内部端口扫描、远程代码执行和拒绝服务攻击泄露内部文件。

  • 失效的访问控制

    通常认证用户权限要求的执行力度不足。攻击者利用这些漏洞访问未授权功能及/或数据,比如访问其他用户账号,查看敏感文件,修改其他用户的数据,更改访问权限等。

  • 敏感信息泄露

    许多web应用和应用程序接口(API)无法对敏感数据实施适当保护,比如信用卡号码、用户凭证和患者信息。攻击者可以窃取或修改这种未加强保护的数据,进而开展信用卡诈骗、身份盗用或实施其他犯罪行为。

  • 安全配置错误

    这个问题的常见原因包括不安全的默认配置、不完整或临时性配置、开放式云存储、HTTP头字段错配及含有敏感信息的详细错误信息。除了安全配置操作系统、框架、数据库和应用外,还应该及时打补丁和更新。

安全大事件

黑客利用漏洞入侵系统对企业造成巨大损失

添加资产

步骤

填写需要扫描的资产(网站、主机)信息

说明

网站资产:通过网站域名或IP即可一键添加,支持扫描所有公网可访问的网站 主机资产:华为云主机可一键同步添加,非华为云主机仅需输入IP地址即可添加

资产认证

步骤

对资产进行所有权认证

说明

为了保护您的资产安全,您需要对资产进行所有权认证 多种认证方式可以选择,操作灵活,简单高效

执行扫描

步骤

完全模拟黑客视角,从各个维度对网站或主机进行安全扫描,全面发现资产漏洞,不放过任何一个风险

说明

操作简单,可按默认配置一键扫描,或根据业务需要自定义更多配置 可启动单次扫描任务,或设置周期监控扫描任务

查看结果

概述

随着信息技术不断推进,黑客攻击、未经授权入侵和其它威胁的风险加剧。系统定期检查、安全设备配置、漏洞补丁修复已不能保证系统安全的要素。为了降低信息系统中安全隐患被非法利用的可能性或在被利用后能及时加以响应,需要有专业的信息安全服务人员协助组织的系统管理人员进行安全服务相关工作。。

1、Mt.Gox由于系统漏洞遭到黑客攻击,于2月28日宣布破产。 2、Tumblr超6500万邮箱账号密码遭泄露 3、Facebook:8700万用户数据泄露 4、前程无忧:195万条个人求职简历泄露 5、华住旗下多个连锁酒店:5亿条信息泄露 6、台积电三大工厂接连遭病毒感染 7、“永恒之蓝”勒索病毒席卷全球