Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

谈一谈渗透测试 该如何做好漏洞检测与修复?



       客户网站以及APP在正式上线之前,都会找专业的安全公司进行渗透测试,检测网站、APP是

否存在漏洞,以及一些安全隐患,大多数的运营者觉得安装一些安全防
护软件就足以防止攻击了,

越这样,网站APP越容易受到篡改数据,以及攻击等情
况时而发生,近几年移动互联网的快速发展

,APP应用,网站也越来越多,受到的
攻击成几何的增长,有很多客户找到我们SINE安全来进行渗

透测试服务,那如何通
过渗透测试解决网站APP现有的攻击问题呢,首先我们要了解,什么是渗透

测试?

 

 
渗透测试是对网站、APP应用(android,ios)进行全面的安全检测与漏洞扫描,模拟攻击者的手

法,切近实战,人工检查网站APP存在的漏洞,最后评估生成安全报
告,简单来概括也叫黑箱测

试,在没有客户提供的网站源代码以及服务器管理员权
限的情况下,从普通的用户访问对网站进

行测试。我们SINE安全在对客户网站、
APP进行渗透测试之前,都需要获取客户的安全授权,再

一个确认客户的网站是否
是客户的,验证所有权,再授权我们进行安全渗透,安全授权相当于甲

方公司同意
对乙方对旗下的网站域名,以及APP进行远程的黑箱,白箱的渗透测试,双方公司盖

,电子签或快递签,开始安全服务。
 
 
渗透测试的范围与服务内容都有哪些?
 
分多个层面进行,网站方面,APP方面,我们从网站来说,大体渗透的范围,对网站的漏洞进行

检测,包括SQL注入漏洞,get,post,cookies注入漏洞,延迟注入检
测,盲注检测,XSS跨站漏洞

检测,分反射XSS,持续性XSS,存储性XSS检测,CSRF
漏洞,逻辑漏洞,垂直,平行越权漏洞,

文件上传截断绕过漏洞,目录遍历漏洞,
URL地址跳转漏洞,代码远程执行漏洞,数据库漏洞,账

号弱密码漏洞扫描,任意
文件下载漏洞,API接口漏洞检测。
 

 
APP渗透测试方面包含APP反编译安全测试,APP脱壳漏洞,APP二次打包植入后门漏洞,APP进

程安全检测,APP appi接口的漏洞检测,任意账户注册漏洞,短信验证
码盗刷,签名效验漏洞,

APP加密/签名破解,APP逆向,SO代码函数漏洞,JAVA层
动态调试漏洞,代码注入,HOOK攻

击检测,内存DUMP漏洞,AES解密测试,反调试
漏洞,还有APP功能上逻辑漏洞,越权漏洞,平

行垂直,获取任意账户的信息,弱
口令漏洞,暴力破解漏洞,JAVA漏洞检查,敏感信息泄露等

等。

 
根据SINE安全团队十年的渗透测试经验得出,在对客户网站进行测试前,收集客户网站信息以及

资料,整理的越多越好,有利于更深入的了解客户,只有真正的了解
了自己,才能知彼知己百战

不殆,通过收集的资料,人工+软件辅助的方式对漏洞
进行检测,通过发现出来的漏洞以及测试

经验进行更进一步的漏洞深挖。
最后对渗透测试出的漏洞,以及漏洞修复方案,安全方面建议,

整理成详细的安全
部署报告,交由甲方公司,对整体的渗透测试内容进行描述,检测出来的漏洞

分高
中低,漏洞名称,漏洞详情,漏洞利用方式,以及如何才能修复好漏洞,都会在报告中详细

的写出,这样才是完整的渗透测试服务,找出漏洞所在,解决客户的后顾
之忧。
分享: