滲透測試是在具有安全授權的情況下,模擬黑客的攻擊方法對系統和網絡進行非破壞性質的攻擊性測試,黑客的入侵和攻擊需要利用目標系統的安全漏洞和弱點,滲透測試采用同樣的測試原理、方法、工具和路徑,所以可以最大程度的模擬真實黑客入侵的過程,黑客攻擊的目的是竊取和破壞,而滲透測試的目的是提前于攻擊者發現系統隱患,封堵漏洞,由于滲透測試采用可控的、非破壞性質的工具和方法,因此在驗證安全性問題的同時不會對被測系統造成負面影響。在滲透測試結束后,系統將基本保持一致。

·             注入缺陷(如SQL、LDAP、OS指令、XPath、XQuery、XSLT、XML)

·             業務邏輯漏洞

·             跨站腳本攻擊(XSS)

·             跨站請求偽造(CSRF)

·             身份驗證或會話管理不當

·             訪問控制不當

·             缺少加密技術或加密算法使用不當

·             由于錯誤信息導致信息暴露

·             重定向開放

·             無法限制URL訪問

·             不安全的直接對象應用或路徑遍歷

·             服務器配置錯誤

·             防火墻規則設定分析



                                                                        



山東新潮信息技術有限公司
地址:山東省濟南市高新區漢峪金谷A三區4號樓16層
電話:0531-83532886
傳真:0531-83532000