服務(wù)能(néng)力
-
前期交互
PM與客戶進行溝通、确定滲透測試的時間、範圍、深度、測試方式(黑盒OR白盒、現場OR遠(yuǎn)程)等問題,并拿(ná)到客戶簽署的滲透測試授權函。 -
準備階段
服務(wù)團隊在拿(ná)到客戶授權後開始情報搜集工(gōng)作(zuò),搜集階段是對目标客戶的系統進行一系列踩點工(gōng)作(zuò),包括:基礎資産(chǎn)收集、互聯網信息洩露搜集、指紋識别、業務(wù)系統功能(néng)收集、接口信息收集等。 -
威脅建模
在搜集到充分(fēn)的情報信息之後,智安(ān)網絡安(ān)全服務(wù)團隊成員對獲取的信息進行威脅建模與攻擊規劃。從大量的信息情報中(zhōng)理(lǐ)清思路,确定出最可(kě)行的攻擊通道。 -
漏洞分(fēn)析
漏洞分(fēn)析階段是對威脅建模階段的初步實踐,本階段需要針對威脅建模階段總結的測試方法進行一一驗證,通過測試總結出可(kě)行的測試方法,排除不可(kě)行的測試方法。由于客戶對業務(wù)系統的防護能(néng)力不同,本階段分(fēn)析得出的漏洞利用(yòng)方式會有(yǒu)一定的差異。 -
滲透攻擊
本階段是對客戶的業務(wù)系統進行攻擊性測試的階段,漏洞分(fēn)析階段總結出的可(kě)行的漏洞利用(yòng)方法,本階段可(kě)以直接拿(ná)來利用(yòng),并以此為(wèi)基礎擴大滲透戰果;如果漏洞分(fēn)析階段總結出沒有(yǒu)可(kě)利用(yòng)的漏洞,就需要工(gōng)程師根據自己的經驗對業務(wù)系統從不同維度開展試探性攻擊,分(fēn)析與驗證業務(wù)系統可(kě)能(néng)存在的漏洞。 -
後滲透攻擊
後滲透攻擊階段從已經攻陷了客戶的一些系統開始,将以特定業務(wù)系統為(wèi)目标,标識出關鍵的基礎設施,并尋找客戶組織最具(jù)價值的信息和資産(chǎn),并需要推演出能(néng)夠對客戶組織造成最重要影響的攻擊途徑,本階段主要包含權限維持、内網橫向滲透、攻擊痕迹清除(例如:WebShell、Socks5代理(lǐ)、權限維持程序)等。
服務(wù)優勢
-
強大的安(ān)全服務(wù)團隊
安(ān)全團隊成員均具(jù)備優秀的網絡與信息安(ān)全技(jì )術能(néng)力,擁有(yǒu)豐富多(duō)樣的網絡安(ān)全攻防經驗,并且有(yǒu)多(duō)位擁有(yǒu) CISP、CWASP、CISAW、等保測評師、通信網絡安(ān)全能(néng)力認證等國(guó)家和國(guó)際行業認證資質(zhì)。 -
全面的測試範圍
滲透測試涵蓋了網站,主機,Android 客戶端,iOS 客戶端,PC 客戶端,微信小(xiǎo)程序,微信公(gōng)衆号等各個方向,可(kě)滿足不同客戶的測試需求。 -
嚴格的測試标準
根據各個行業要求,安(ān)全團隊擁有(yǒu)豐富的測試經驗,制定了嚴格标準的安(ān)全測試規範,包含了主機安(ān)全、中(zhōng)間件安(ān)全、數據庫安(ān)全、傳輸安(ān)全、業務(wù)安(ān)全等内容,全面覆蓋已知安(ān)全風險。
應用(yòng)場景
WEB-應用(yòng)安(ān)全測試
APP-應用(yòng)安(ān)全測試
