渗透测试是在客户授权、监督和不影响目标系统正常运行的情况下,工程师采用手工方式和安全检测工具,模拟黑客的攻击方法对目标系统的技术弱点、缺陷或漏洞进行可控的非破坏性攻击测试,并提供渗透测试报告,使得客户可以清晰知晓目标系统中存在的安全隐患。
渗透测试分类
–黑盒测试
渗透测试工程师在对目标系统一无所知的情况下,对系统进行测试。所有系统信息的收集皆由工程师通过渗透测试手段自行获取。
–灰盒测试
渗透测试工程师可以通过正常渠道向被测者要求取得部分资料,包括网络拓扑、员工资料、甚至网站部分用户/口令等.
–内部测试
测试人员直接接入组织内网,从组织网络内部对信息系统进行测试,测试过程中会涉及到内部网络边界的跨越,模拟的是内部主机已经沦陷为入侵跳板或由内部违规操作者发起的攻击场景.
–外部测试
测试人员借助互联网通过组织开放的信息服务,从组织网络外部对信息系统进行测试,测试过程中会涉及到由网络入口到信息系统应用层程序之间信息系统访问渠道中每个环节的安全性,模拟的是外部入侵者试图对组织进行入侵的场景。
渗透测试参考标准(PTES)
当前在安全业界受到广泛认同的渗透测试执行标准,其定义了一次真正渗透测试的过程与阶段,确保能够以一种标准化的方式来进行一次渗透测试。该标准将渗透测试过程分为七个阶段,并在每个阶段中定义不同的流程与扩展。
服务简介
启明星辰渗透测试产品是一款由启明星辰云众可信技术中心推出的,由精通渗透测试技术的资深安全专家,在客户授权范围内,参考PTES(penetration testing execution standard )对客户信息系统进行模拟黑客攻击的商业化测试服务,用于帮助客户评估信息系统当前的安全性。提供包括外网渗透测试、内网渗透测试、黑盒测试、灰盒测试等多种测试方法,覆盖信息系统中包含的网站/web应用、服务器、数据库、中间件、网络设备、终端等相关软硬件资产。
服务组成
服务规格
应用系统渗透测试
针对组织希望测试网站或其它B/S的业务系统是否存在可被黑客利用的安全漏洞。测试工程师远程或现场的方式,以完全模拟黑客的视角,在授权范围内,对所有与该系统运行相关的环境(包括但不限于安全设备、网络设备、服务器、中间件、数据库、网站应用程序)进行各种漏洞利用测试
系统渗透测试
针对为检验组织业务网、核心网、传输网、办公网、无线网等基础网络环境是否存在可被黑客利用的安全漏洞而提供的服务。测试工程师通过接入客户网络,以黑客的视角,在授权范围内,对所有网络通信相关设备(网络设备、安全设备、无线AP、终端)及网络相关业务系统(网管系统、认证系统)进行各种漏洞利用测试