50 %
SALE

渗透测试服务

¥2,000.00 ¥1,000.00

非实际价格,具体费用请联系我们评估

渗透测试服务范围

安卓应用 | iOS应用 | 网页应用 | 微信服务号 | 微信小程序 | 工控安全测试

安卓应用
对客户端、组件、本地数据、敏感信息、业务等 64 个检测项目进行安全检测

iOS应用
对客户端、策略、通信、敏感信息、业务等 33 个检测项目进行安全检测

网页应用
对注入、跨站、越权、CSRF、中间件、规避交易、信息泄露、业务等 67 个检测项进行安全检测

微信服务号
对客户端、组件、本地数据、敏感信息、业务等 64 个检测项目进行安全检测

微信小程序
根据小程序的开发特性,在SQL注入、越权访问、文件上传、CSRF以及个人信息泄露等漏洞进行检测,防护衍生的重大危害

工控安全测试
提供针对工控安全中28个检测类的渗透测试

渗透测试服务流程

  1. 确定范围
    通过对测试范围进行精确分析,从而制定出有针对性地模拟攻击计划。
  2. 制定方案
    基于不同场景下的安全诉求,您可以针对应用的风险状况选择测试级别。
  3. 实施项目
    对暴露在互联网的业务系统、WEB应用、网络和操作系统进行渗透测试。
  4. 交付结果
    输出渗透测试报告,内容包括测试过程、风险状况、漏洞详情、修复建议.

渗透测试报告

目录
1. 综述 1
2. 渗透测试流程 4
3. 渗透结果分析 6
3.1. 漏洞等级分布 6
3.2. 漏洞类型分布 7
3.3. 测试内容汇总 7
3.4. 测试成果汇总 9
4. 渗透测试结果分析 11
4.1. 外网系统漏洞 11
4.1.1. 任意文件下载漏洞 11
4.1.2. 任意文件下载漏洞 12
4.1.3. OA系统存在大量弱口令账户 13
4.1.4. OA系统存在反射型跨站点脚本攻击漏洞 15
4.1.5. 敏感日志文件泄露 16
4.1.6. RSYNC未授权访问 18
4.1.7. 高清影视存在反射型跨站点脚本攻击漏洞 19
4.1.8. 高清影视存在反射型跨站点脚本攻击漏洞 20
4.1.9. 网站后台地址泄露 21
4.1.10. 程序版本信息泄露 22
4.1.11. crossdomain.xml配置存在风险 23
4.1.12. crossdomain.xml配置存在风险 23
4.2. 内网系统漏洞 24
4.2.1. 邮箱泄露敏感信息 24
4.2.2. 跳板机权限控制不严导致内网多台服务器权限泄露 26
4.2.3. Jenkins未授权访问导致业务系统源代码泄露 29
4.2.4. 好看业务平台用户权限泄露 31
4.2.5. shiro反序列化命令执行漏洞 33
4.2.6. dubbo反序列化命令执行漏洞 37
5. 漏洞修复方案 40
5.1. 跨站脚本攻击(XSS) 40
5.2. Dubbo反序列化命令执行漏洞 40
5.3. Shrio反序列化命令执行漏洞 41
5.4. Rsync未授权访问 41
6. 附录A:漏洞风险评级标准 41
7. 附录B:应用系统风险评级标准 42
8. 附录C:典型Web安全风险简介 43
8.1. SQL注入简介 43
8.2. LDAP 注入漏洞简介 43
8.3. XPath注入漏洞简介 44
8.4. SSI注入漏洞简介 44
8.5. 跨站(XSS)简介 45
8.6. 操作系统命令执行漏洞简介 45
8.7. 格式字符串远程命令执行漏洞简介 45
8.8. 路径遍历漏洞简介 46