购买使用流程

产品介绍

通过对信息系统深层次的渗透测试，可从技术层面定性的分析系统的安全性，查找系统存在的安全隐患点，并通过有效的验证每个安全隐患点的可利用程度，把控整个目标系统的技术安全性。在对发现的安全隐患进行针对性加固后，信息系统会变得更加稳定、安全。其中，渗透测试服务场景主要包括 WEB应用测试、移动 APP测试、微信小程序 &客户端等，针对不同场景，将包括以下服务范围：

1) WEB应用测试：如ASP、 CGI、 JSP、 PHP等组成的 WWW应用进行渗透测试。

2) 移动 APP测试：主要分为Android-APK、 iOS-IPA两个测试分类。

3) 微信小程序 &客户端：  微信小程序、公众号、PC客户端等测试范围。

4) 主机操作系统：对WINDOWS、 SOLARIS、 AIX、 LINUX、 SCO、 SGI等操作系统本身进行渗透测试。

5) 数据库系统：对MS-SQL、 ORACLE、 MYSQL、 INFORMIX、 SYBASE、 DB2等数据库系统进行渗透测试。

服务流程：

1) 实施方案制定、被测评方书面授权书

渗透测试首先必须将实施方法、实施时间、实施人员，实施工具等具体的实施方案提交给被测评方，并得到被测评方的相应书面委托和授权。应该做到被测评方对渗透测试所有细节和风险的知晓、所有过程都在被测评方的控制下进行

2) 信息收集分析

信息收集是每一步渗透攻击的前提，通过信息收集可以有针对性地制定模拟攻击测试计划，提高模拟攻击的成功率，同时可以有效的降低攻击测试对系统正常运行造成的不利影响。

3) 内部计划制定、二次确认

安全专家根据被测评方委托范围和时间，并结合前一步初步的信息收集得到的设备存活情况、网络拓扑情况以及扫描得到的服务开放情况、漏洞情况制定内渗透测试服务计划。并将以下一步工作的计划和时间安排与被测评方进行确认。

4) 取得权限、提升权限取得权限、提升权限

通过初步的信息收集分析，存在两种可能性，一种是目标系统存在重大的安全弱点，测试可以直接控制目标系统；另一种是目标系统没有远程重大的安全弱点，但是可以获得普通用户权限，这时可以通过该普通用户权限进一步收集目标系统信息。接下来尽最大努力取得超级用户权限、收集目标主机资料信息，寻求本地权限提升的机会。这样不停的进行信息收集分析、权限提升的结果形成了整本地权限提升的机会。权限提升的结果形成了整个的渗透测试过程。

5) 生成报告生成报告

渗透测试之后，将会提供一份渗透测试报告。渗透测试报告将会十分详细的说明渗透测试过程中的得到的数据和信息、并且将会详细的纪录整个渗透详细的说明渗透测试过程中的得到的数据和信息、并且将会详细的纪录整个渗透测试的全部操作。

服务优势：

1）专业的安全团队

安恒信息的渗透测试专家有着多年的渗透测试经验，渗透测试团队曾多次代表国家、省、市级监管单位参与网络安全攻防演练，团队拥有大量国际注册信息系统安全认证专家（CISSP）、国际信息系统审计师（CISA）、信息安全注册工程师（CISP）、信息安全管理体系（ISO27001）主任审核员及高级项目经理（PMP）等认证人员

2）强大的漏洞挖掘能力

安恒信息凭借渗透测试专家强大的漏洞挖掘能力，在Web应用安全、数据库安全、移动安全、云安全等诸多领域积累了大量的漏洞挖掘成果，提交的多个漏洞被CVE列为“严重”级别的漏洞，其中包括影响广泛的Struts2 S02-029、Struts2 S02-032、Struts2 S02-045。

3）可信的安全监测工具

渗透测试少不了安全检测工具的支持，安恒信息拥有多款自主研发的安全检测工具，覆盖事前检测、事中监测、事后应急响应的全生命周期服务工具；其中明鉴WEB应用弱点扫描器和明鉴数据库弱点扫描器两款扫描器在国际和国内均具有安全技术专利；均通过公安部信息安全产品检测中心、公安部计算机信息系统安全产品质量监督检验中心的检验。

客户收益：

    1）客户可从攻击角度 全面 了解系统是否会存在 一 些隐性的安全漏洞和风险点

2）通过渗透测试， 可以对信息系统的安全性得到较深的感性认知，有助于后续信息系统 的安全建设

3）在进行了渗透测试后，可用于验证经过安全保护后的网络 环境、信息系统等是否真实达到了预定 的 安全目标 ，测试结果可作为安全加固参考依据，可有效减少网络安全隐患、减少网络安全投资成本。

4）通过渗透测试以及对结果的有效处理，帮助客户遵循单位的相关安全策略、符合国家、行业监管部门等上级单位的安全合规要求。