渗透测试服务

渗透测试（Penetration Testing）是指在客户授权许可的情况下，由具备高技能和高素质的安全服务人员发起、在没有网站代码和服务器权限的情况下，模拟常见黑客所使用的攻击手段对目标系统进行模拟全方位渗透入侵测试，来评估企业业务平台和服务器系统的安全性。

渗透测试服务的目的在于充分挖掘和暴露系统的弱点，从而让管理人员了解其系统所面临的威胁。

渗透测试工作往往作为风险评估的一个重要环节，为风险评估提供重要的原始参考数据。

渗透服务内容

应用系统测试：

包括：基础业务逻辑测试，owasp Top10漏洞测试，服务器压力测试，第三方组件测试，权限认证测试，安全配置测试，业务流程测试，

防御对抗测试，社会工程学，供应链依赖测试，开源软件0DAY测试，系统基线远端测试

移动APP测试：

包括：安装包测试，数据传输安全测试，组件安全测试，安全增强项测试，应用更新安全测试，账号体系安全测试，基础业务安全测试，

代码保护侧问题，动态保护对抗测试

业务安全测试：

包括：风控体系的对抗测试，活动期间的羊毛测试，业务逻辑乱序，撞库，爆破，购买等测试，数据脱敏，猜测等信息泄露测试，恶意

下单，抢单等，仿冒站发现，认识绕过，内容合规等等

服务对象

安卓应用 | iOS应用 | 网页应用 | 微信服务号 | 微信小程序

1.安卓应用

对客户端、组件、本地数据、敏感信息、业务等 64 个检测项目进行安全检测

2.iOS应用

对客户端、策略、通信、敏感信息、业务等 33 个检测项目进行安全检测

3.网页应用

对注入、跨站、越权、CSRF、中间件、规避交易、信息泄露、业务等 67 个检测项进行安全检测

4.微信服务号

对客户端、组件、本地数据、敏感信息、业务等 64 个检测项目进行安全检测

4.微信小程序

根据小程序的开发特性，在SQL注入、越权访问、文件上传、CSRF以及个人信息泄露等漏洞进行检测，防护衍生的重大危害

服务流程

1.意向(1个工作日)

填写表单：企业填写测试需求；商务沟通：确定测试意向，签订合作合同。

2.启动(1个工作日)

收集材料：系统账号、稳定的测试环境、业务流程等。

3.执行(5-8个工作日)

风险分析：熟悉系统，进行风险分析，设计测试风险点；漏洞挖掘：安全测试专家分组进行安全渗透测试，提交漏洞；报告汇总：汇总系统风险评估结果和漏洞，发送测试报告。

4.完成(1-5个工作日)

漏洞修复：企业按照测试报告进行修复；复测：对修复过的环境进行复测确认漏洞已修复。