• <tr id='4nX64R'><strong id='4nX64R'></strong><small id='4nX64R'></small><button id='4nX64R'></button><li id='4nX64R'><noscript id='4nX64R'><big id='4nX64R'></big><dt id='4nX64R'></dt></noscript></li></tr><ol id='4nX64R'><option id='4nX64R'><table id='4nX64R'><blockquote id='4nX64R'><tbody id='4nX64R'></tbody></blockquote></table></option></ol><u id='4nX64R'></u><kbd id='4nX64R'><kbd id='4nX64R'></kbd></kbd>

    <code id='4nX64R'><strong id='4nX64R'></strong></code>

    <fieldset id='4nX64R'></fieldset>
          <span id='4nX64R'></span>

              <ins id='4nX64R'></ins>
              <acronym id='4nX64R'><em id='4nX64R'></em><td id='4nX64R'><div id='4nX64R'></div></td></acronym><address id='4nX64R'><big id='4nX64R'><big id='4nX64R'></big><legend id='4nX64R'></legend></big></address>

              <i id='4nX64R'><div id='4nX64R'><ins id='4nX64R'></ins></div></i>
              <i id='4nX64R'></i>
            1. <dl id='4nX64R'></dl>
              1. <blockquote id='4nX64R'><q id='4nX64R'><noscript id='4nX64R'></noscript><dt id='4nX64R'></dt></q></blockquote><noframes id='4nX64R'><i id='4nX64R'></i>
                安全评估

                渗透测试

                渗◣透测试流程分为:制定方案、客户授权、信息搜集与分析、渗透测试、生成报告等五个阶段。

                (流程图)

                渗透测试主要技术手ㄨ段:

                WEB及应∑用测试

                一、默认误用漏洞
                包括Web应用使用的操作〇系统以及Web应用程序本身的安全漏洞、错误或默认配置可以被利用的漏≡洞。

                二、功能逻辑漏洞
                包括业务∮流程,认证授权方面的逻辑代码等问题。

                三、编码漏洞
                包含SQL注入漏洞、跨站、源代码泄露√、缓冲区@溢出等常见漏洞。

                四、信息泄露◢漏洞
                由于异常没有处理或者其他原因造成了系统信息的泄♀漏,以及未设置正确的访问控制措施导致用户可以直接目录遍历或者直接访问浏览。

                缓冲区溢出测试

                一、远程溢出
                这是当前系统层面出现的频率♀最高、威胁♂最严重,同时又是最容易实现的一种渗透方法,一个具有一般网络知识的入侵者就可以在很短的时间内利用现成的工具实『现远程溢出攻击,因此远程溢出测试是渗透测试过程的重要环↘节。

                二、本地溢出
                本地溢出是指在拥有了一个普通用户的№账号之后,通过一段特殊的∑指令代码获得管理员权限的「方法。使用本地溢出的前提是首先要获得一个╱普通用户的密码。

                账号密←码测试

                对一个系统账号的猜测通常包括两个方面:首先是对用户名的』猜测,其●次是对密码的猜测。在渗╲透内网时,应在渗透过程中,根据用户的特点定制字∏典文件,内网管理员管理多台机器,通过弱口令等〓方式进入一台服务器时,收集当前服务器上☆的密码,密码应包括但不限于以下几个方面:

                一、 系统管理密码
                二、 FTP 密码
                三、 应〓用系统密码(通常在配置※文件可以查看到)
                四、 远程管理工具的密码,如 PcAnywhere、Radmin、VNC等
                将这些密码做成字典,然后对目↘标机器进行扫描,测试系统∏密码账户策略。

                ARP欺骗测试

                DMZ区、生产区、办公区等内网经▂常发生ARP嗅探和ARP欺骗,并导致网络拥塞甚至中断或导致中间人攻击,是内网杀手之一Ψ 。因此ARP攻ㄨ击测试配合异常流量分析是内网渗透的一个重〒要环节。

                其它攻击测试技★术

                社会ξ 工程学(测试人员安全,人员的安全意识等),物理安全〓测试、War Dialing、客户端攻击◆、拒绝服务攻击。

                安全产品
                解决方案
                关于我们
                联系我们
                安全服务

                地址:北京市海淀区学清□路38号
                          金码大厦B座7层
                邮编:100084
                服务热线:400-696-8096
                电 话:010-82838085
                邮箱:
                contact@carseurop.com

                关注我们
                Copyright © 2007-2017 carseurop.com All Rights Reserved 北京国舜科技股份▅有限公司版权所有 京ICP备09050222号 京公网安备110108000272号