注意:因业务调整,暂不接受个人委托测试,望谅解(高校、研究所等性质的个人委托除外)。
因篇幅原因,CMA/CNAS/ISO证书以及未列出的项目/样品,请咨询在线工程师。
网站漏洞扫描检测
检测项目
1.注入类漏洞检测:SQL注入、命令注入、LDAP注入、XPATH注入、代码注入等。
2.跨站脚本漏洞检测:反射型跨站脚本、存储型跨站脚本、基于文档对象模型的跨站脚本等。
3.身份验证与会话管理缺陷检测:弱密码策略、会话固定、会话超时设置不当、身份验证绕过等。
4.敏感信息泄露检测:数据库连接字符串暴露、源代码泄露、错误信息泄露、备份文件泄露等。
5.安全配置错误检测:目录列表启用、默认账户未修改、不必要的服务启用、安全头部缺失等。
6.跨站请求伪造检测:表单重复提交、重要操作未验证来源、令牌校验缺失等。
7.不安全的直接对象引用检测:文件路径遍历、数据库主键暴露、未授权数据访问等。
8.安全组件缺陷检测:已知漏洞组件使用、过时的加密算法、第三方库安全风险等。
9.未验证的重定向与转发检测:开放重定向、钓鱼链接植入、恶意网址跳转等。
10.服务器与网络层漏洞检测:传输层安全协议配置缺陷、服务器信息泄露、网络服务漏洞等。
检测范围
1.网站应用程序:动态网页、静态页面、应用程序接口、管理后台、用户交互模块等。
2.网络服务组件:网页服务器、数据库服务器、域名系统服务、文件传输服务、远程登录服务等。
3.数据存储与传输:数据库连接池、数据传输通道、缓存机制、会话存储系统等。
4.身份认证体系:用户登录模块、权限控制系统、单点登录集成、多因子认证接口等。
5.客户端交互组件:浏览器端脚本、移动应用接口、小程序后端、富互联网应用程序等。
6.第三方集成服务:支付网关接口、社交平台接入、云服务集成、内容分发网络配置等。
7.服务器操作系统:系统服务配置、用户权限设置、防火墙规则、系统补丁状态等。
8.网络架构组件:负载均衡设备、代理服务器、网络防火墙、入侵检测系统等。
9.加密与证书体系:数字证书配置、密钥管理机制、加密算法实现、随机数生成器等。
10.备份与恢复系统:数据备份机制、灾难恢复流程、系统镜像文件、日志记录系统等。
检测方法与标准
2.手动渗透测试:GB/T 31505-2015、GB/T 34989-2017、GB/T 36637-2018、GB/T 37988-2019
检测设备
2.渗透测试平台:渗透测试集成系统、漏洞利用验证平台、攻击模拟设备、安全测试工作站等。
3.协议分析仪器:网络协议分析仪、数据包捕获设备、流量监控系统、协议解析设备等。
4.安全审计设备:日志分析系统、安全事件管理平台、行为审计设备、合规检查设备等。
5.性能测试设备:负载压力测试系统、性能监控设备、并发测试工具、资源监控设备等。
6.加密测试设备:密码算法测试仪、随机数测试设备、密钥管理测试系统、加密性能分析仪等。
7.网络仿真设备:网络环境模拟系统、攻击场景构建平台、威胁建模设备、安全态势模拟器等。
8.数据采集设备:网站内容抓取系统、数据提取设备、信息收集平台、爬虫管理系统等。
9.身份认证测试设备:认证协议测试仪、会话管理测试系统、令牌验证设备、生物特征测试设备等。
10.移动安全测试设备:移动应用安全测试平台、无线安全测试设备、移动终端检测系统、应用商店检测设备等。
检测技术研究院
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
