天翼云渗透测试有哪些优势?
-
业内领先的咨询顾问团队
参考国际和国家规范,对系统进行科学有效的风险评估,顾问团队拥有CISP、CISSP、ISO27001、 Security+等专业资质和多年丰富的项目经验。
-
运营商级别的实践能力
技术顾问具备多年的信息系统安全评估和保障服务经验,具有丰富的网络和系统整改项目经验。
通过科学、标准的服务流程,以及完善的项目管理和质量保障机制,提供全面可靠的安全服务。
云渗透测试有哪些规格?
不同企业建议根据实际情况分成三种规格:
- 小型应用系统,最多1个应用系统;
- 中型应用系统,最多5个应用系统;
- 大型应用系统,最多20个应用系统。
其他规格需要根据实际情况协商确定。
天翼云安全渗透测试服务内容包括哪些?
-
身份认证测试
检査是否满足安全设计要求中的身份认证要求,检查是否存在密码被破解、登录被回放、登录被绕过的缺陷,确保登录验证安全有效。
-
授权管理测试
检查页面是否满足安全设计要求中的访问控制要求,检查用户在未授权的情况下是否成功办理需要授权的业务。
检查是否存在跨站请求伪造、路径遍历、授权绕过、会话重放等。
-
数据验证测试
检查是否满足安全设计要求中输入验证的要求,确保应用系统正常显示业务办理信息。
检查是否存在SQL注入、跨站脚本攻击、 XPATH注入、SSI注入、命令注入、
缓冲区溢出、上传文件验证、未经验证的URL重定向。
-
可用性测试
检查系统是否存在帐号锁定设计缺陷及应用拒绝服务缺陷。
-
配置管理测试
检查存在中间件配置缺陷导致的应用系统漏洞。
检查是否存在SSL漏洞、敏感信息泄露、默认文件和目录、基础结构配置管理、非必要文件检索、HTTP请求方法滥用、目录索引
-
后门测试
检查应用系统各页面是否存在后门程序。
天翼云安全渗透测试服务各阶段时间安排?
- 客户确认阶段:第1周,预计一周时间供双方协商测试方案;
- 进行测试阶段:第2-3周,预计两周时间;
- 整改复测阶段:提交测试报告后1个月内客户可以提交复测申请,复测在1周内完成;
- 质保服务阶段:从报告交付日开始,为期12个月;
天翼云安全渗透测试服务网络要求?
应用系统网络与扫描器网络可达即可提供渗透测试。Internet默认可达,内网地址需部署扫描器在内网即可。
天翼云安全渗透测试服务流程是怎样的?
渗透测试是不是相当于入侵系统?
渗透测试和黑客入侵最大区别在于渗透测试是经过客户授权,采用可控制、非破坏性的方法和手段发现目标和网络设备中的弱点,帮助管理者知道自己网络所面临的问题。
渗透测试是一种对抗性和定制化要求都非常高的一类安全测试,安全工程师在书面授权后尽可能完整的模拟黑客可能使用的漏洞发现技术与攻击技术(与黑客攻击相比其结果是可预知性的),对目标网络、主机、数据库与应用系统的安全性做深入的探测,发现系统薄弱环节的过程。能够直观的让管理人员知道当前网络、主机、数据库与应用系统存在的安全弱点以及可能造成的影响,以便采取必要的防范措施。
是否会对业务系统的运行产生影响?
渗透测试是模拟黑客攻击,对目标系统进行安全探测,以发现系统最脆弱的环节。在实施渗透测试时,可能会对业务系统的正常运行产生一定的影响。
具体影响的大小取决于渗透测试的具体实施方式和实施范围。如果渗透测试的范围较小,只针对部分系统或特定服务进行测试,对业务系统整体运行的影响可能较小。但如果渗透测试的范围较大,涉及到整个业务系统或关键业务组件,就可能对系统的正常运行产生较大的影响。
另外,渗透测试的时机也会影响其对业务系统运行的影响。如果选择在业务系统的非高峰期进行测试,可以最大程度地减少对业务系统正常运行的影响。但如果测试时间安排在业务高峰期,就可能对业务系统的正常运行产生较大的影响。
因此,在进行渗透测试时,需要综合考虑测试范围、实施方式、时机等多个因素,以尽可能地减少对业务系统正常运行的影响。同时,为了确保渗透测试的准确性和有效性,还需要选择专业的渗透测试团队或机构进行测试。
天翼云渗透测试服务在开始服务前,会为您提供详细渗透测试方案,在时间安排上,我们会将测试时间安排在非高峰期,不会对业务系统的连续性产生影响。
天翼云渗透测试支持对哪些系统测试?
天翼云渗透测试服务通过真实模拟攻击使用的工具、分析方法来对业务系统进行深度漏洞挖掘,利用系统漏洞获取权限从而获取敏感数据的测试,由测试人员进行深入的手工测试和分析,识别工具无法发现的问题。
主要分析测试内容包括但不限于逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及其他专项内容测试与分析。测试范围:web系统、移动应用APP、公众号、小程序等。
渗透测试如何识别一个应用系统?
以一个三级域名作为一个应用系统的唯一标识,多个三级域名将被视为多个应用系统。
如www.ctyun.cn为一个应用系统,www.ctyun.cn/+路径也为同一个应用系统;反之不同三级域名为不同的应用系统,如www.ctyun.cn与desk.ctyun.cn为2个不同的应用系统。
渗透测试是否只针对天翼云的租户,异网客户是否可以购买开通?
云上租户,异网客户均可购买使用,前提条件需要有天翼云账号,能正常购买渗透测试产品,且保证需要测试的域名公网可访问。
服务开始前,您需要提供渗透测试授权函,我们会为您提供详细的渗透测试方案,确定服务细节及测试范围,得到您的授权后,开展渗透测试服务,并提供渗透测试报告。