通过模拟黑客对客户信息资产进行非破坏性攻击测试,发现应用系统中可能存在的安全隐患和安全风险,提高客户应用程序的安全性。
a) 强化系统安全:充分挖掘业务系统中可能存在的潜在威胁点,提升系统的安全性、稳定性。
b) 提升安全能力:让客户直观感受网络安全攻击威胁,提高各部门对整体网络安全的认知程度和安全能力。
c) 事前安全检测:先于黑客发现系统安全隐患,提前部署好安全防御措施,减少不必要的经济损失。
d) 合法合规运营:满足合法合规建设需要,避免因触犯法律遭受惩罚。
1.测试需求方与公司项目负责人相互协商,明确双方权利义务;
2.测试需求方向公司项目负责人明确授权并授权公司组织符合要求的渗透测试人员实施渗透测试;
3.测试需求方根据测试需求,向公司项目负责人提供需要进行测试的资产信息,明确测试范围、时间、地点;
4.公司项目负责人按照测试需求方要求完成测试人员的确认以及测试环境、测试工具的准备,并与测试需求方签《渗透测试授权协议》。
渗透测试技术人员根据测试需求方的要求,选择采取线上远程测试或前往客户现场进行线下测试。
a)线上远程测试(外部测试):渗透测试技术人员负责搭建远程测试环境、远程通讯环境,在确保测试需求方知晓其系统即将展开渗透测试并再次确认同意测试的前提下,按照《渗透测试行为规范》标准进行渗透测试。
b)线下现场测试(内部测试):渗透测试技术人员提前到达客户指定现场,对现场环境进行勘察,调试测试环境,在确保测试需求方知晓其系统即将展开渗透测试并再次确认同意测试的前提下,按照《渗透测试行为规范》标准进行渗透测试。
c)紧急漏洞处理:渗透测试技术人员在渗透测试服务过程中发现紧急漏洞,应第一时间向客户及项目负责人反馈,由项目负责人与客户进行沟通,在获得授权及签署《紧急漏洞修复授权协议》的前提下,对紧急漏洞进行安全修复。
在完成渗透测试后,渗透测试技术人员应对渗透测试数据进行整理汇总和分析。
根据发现的安全漏洞和安全隐患指出被测目标的问题所在,然后提出相应的改进建议.
并最终完成《渗透测试报告》的编写。如客户需要临时修补的情况下,应提前告知客户在修补过程中所产生的影响.
并在漏洞修补前让客户签订《临时漏洞修复授权书》。总体渗透测试项目完成后,所有文档资料应通过网络安全部部门《文件存储标准》统一加密后进行存档.
Sec-scan安全团队是重庆都会信息科技有限公司核心技术团队,主要从事网络安全产品研发、运维服务、技术培训、应急响应以及WEB、APP、工控系统、应用软件系统等漏洞挖掘服务。团队成员拥有资深的业务能力、丰富的理论知识储备和一线实战经验,被重庆市网安总队列为技术支撑团队,曾多次向CNVD、CVE提交百万级、千万级的通用工控系统漏洞、WEB系统漏洞,并多次参与互联网攻防赛事,取得了优异的成绩。
专注于漏洞分析与研究,主要擅长web渗透、app渗透以及工控、物联网等渗透测试,同时擅长代码审计、逆向工程、应急响应、网络事件取证、漏洞修复、漏洞安全研究、技术培训等,是重庆地区唯一每周持续向国家信息安全漏洞库(CNVD)提交漏洞的团队,在整个国家信息安全漏洞共享平台(CNVD)7000多个队伍中排名50位,是重庆地区排名最高的单位。多次获得CNVD以及上海同济大学、上海外国语大学、上海交通大学、天津南开大学等高校荣誉表彰。
主要提供网络安全应急响应、安全加固、安全意识培训与安全技术培训、应急演练、安全巡检、专项安全检查、风险评估、安全建设、信息化管理制度建设、等保2.0整改、网站监测、安全监测预警、通报等运维服务。成员大多都持有CISP、CISAW、PMP等行业证书。
