服务能力
-
前期交互
PM与客户进行沟通、确定渗透测试的时间、范围、深度、测试方式(黑盒OR白盒、现场OR远程)等问题,并拿到客户签署的渗透测试授权函。 -
准备阶段
服务团队在拿到客户授权后开始情报搜集工作,搜集阶段是对目标客户的系统进行一系列踩点工作,包括:基础资产收集、互联网信息泄露搜集、指纹识别、业务系统功能收集、接口信息收集等。 -
威胁建模
在搜集到充分的情报信息之后,智安网络安全服务团队成员对获取的信息进行威胁建模与攻击规划。从大量的信息情报中理清思路,确定出最可行的攻击通道。 -
漏洞分析
漏洞分析阶段是对威胁建模阶段的初步实践,本阶段需要针对威胁建模阶段总结的测试方法进行一一验证,通过测试总结出可行的测试方法,排除不可行的测试方法。由于客户对业务系统的防护能力不同,本阶段分析得出的漏洞利用方式会有一定的差异。 -
渗透攻击
本阶段是对客户的业务系统进行攻击性测试的阶段,漏洞分析阶段总结出的可行的漏洞利用方法,本阶段可以直接拿来利用,并以此为基础扩大渗透战果;如果漏洞分析阶段总结出没有可利用的漏洞,就需要工程师根据自己的经验对业务系统从不同维度开展试探性攻击,分析与验证业务系统可能存在的漏洞。 -
后渗透攻击
后渗透攻击阶段从已经攻陷了客户的一些系统开始,将以特定业务系统为目标,标识出关键的基础设施,并寻找客户组织最具价值的信息和资产,并需要推演出能够对客户组织造成最重要影响的攻击途径,本阶段主要包含权限维持、内网横向渗透、攻击痕迹清除(例如:WebShell、Socks5代理、权限维持程序)等。
服务优势
-
强大的安全服务团队
安全团队成员均具备优秀的网络与信息安全技术能力,拥有丰富多样的网络安全攻防经验,并且有多位拥有 CISP、CWASP、CISAW、等保测评师、通信网络安全能力认证等国家和国际行业认证资质。 -
全面的测试范围
渗透测试涵盖了网站,主机,Android 客户端,iOS 客户端,PC 客户端,微信小程序,微信公众号等各个方向,可满足不同客户的测试需求。 -
严格的测试标准
根据各个行业要求,安全团队拥有丰富的测试经验,制定了严格标准的安全测试规范,包含了主机安全、中间件安全、数据库安全、传输安全、业务安全等内容,全面覆盖已知安全风险。
应用场景
WEB-应用安全测试
APP-应用安全测试
