以攻击者视角审查企业安全的评估方法,通过模拟真实的攻击手法对基础设施和业务系统进行安全评估(入侵测试),识别出企业存在的安全风险并协助企业进行修复,防患于未然。
服务内容
Web业务安全检测
对常规漏洞进行安全检测,如:SQL注入、代码注入、XSS、CSRF、SSRF、XXE、越权、逻辑漏洞、文件包含、 文件上传、任意文件读取、验证码安全等。
Web支撑服务安全检测
检测对象包括但不仅限于:Java 中间件、系统服务、常见容器组件、业务相关支撑系统。
外网安全检测
通过互联网对被测系统进行黑盒安全检测,检测范围包含:应用层安全、业务安全、运维安全、系统安全等。
内网安全检测
通过外网检测获取内网主机权限,对内网进行横向深度安全检测,发现内网中的安全问题,如:业务系统未授权访问、系统弱口令、核心敏感信息泄露等。
员工安全意识检测
从非技术层面提供定制化的模拟攻击,包括但不仅限于:钓鱼攻击、撞库攻击等。
移动端安全检测
通过逆向分析对客户端安全性进行测试,包括:客户端本地存储安全、加密算法安全、加密协议安全、接口安全性等。
服务价值
有效降低安全风险
Effectively reduce security risks
准确验证防护策略
Verifying a Protection Policy
显著增强安全意识
Enhance safety awareness
避免企业形象受损
Avoid image damage
