渗透测试服务

安全自查服务

Security self inspection

  • 服务介绍

信息安全的建设实质是风险管理,风险管理的三要素分别是资产、威胁和脆弱性,这三项的基础是资产管理,如何做好资产管理是管理人和运维人员面临的一大难题,资产包括机房设备、网络设备、安全设备、应用服务器、中间件、虚拟化平台等。例如网络设备又细分为P地址、MAC地址、路由信息等:应用服务器具体包括系统类型、已安装应用程序等:中间件又细分为中间件类型、版本等。

  • 服务内容

根据目标相关信息确定梳理的内容有如下:
     1、根据需要可选择不同角度对资产进行资产分类;
     2、收集明确归口的信息系统资产信息:(数据库,中间件、群件系统、各商业软件平台、后台地址、使用框架、敏感目录等);
     3、 统一排查发现未确定归口部门的资产,确定其归口管理部门;
     4、 梳理资产对应的开放端口、服务,并明确其用途;
     5、 梳理易受攻击应用系统目标(重点资产);
     6、 梳理存储敏感数据(用户数据、源代码数据)的资产;
     7、 梳理安全防护资源;

  • 总体流程
     1、人工确认资产列表或安全管理平台导出资产信息。
     2、资产信息核对,补充和更新如端口、服务、补丁版本、更新时间等,对未知资产确认归口,完善全部信息。
     3、对未知资产进行归口,更新和确认归口,输出最新资产列表。
  • 服务输出

《重要资产台账》

  • 服务介绍

基线一般指配置和管理系统的详细描述,或者说是最低的安全要求,包括服务和应用程序设置、操作系统组件的配置、权限和权利分配、管理规则等。基线检查功能支持检测服务器的安全配置,例如服务器上的系统、账号、数据库、弱密码、合规性配置中存在的风险点,提供检测详情说明和基线加固建议。用户可以根据自己的需求,新增、编辑、删除基线检查策略,设置基线检查等级的范围以及自定义弱口令规则。

  • 服务内容

检测内容包括但不限于以下内容:
主机安全检查(Windows、Linux)
数据库安全检查(Oracle、Redis、MySQL等)
中间件安全检查(Apache、Weblogic、Tomcat等)
网络与安全设备检查(堡垒机、防火墙、路由器等)

  • 服务输出

《安全基线检测报告》

  • 服务介绍

什么是弱口令扫描技术,所谓口令也就是密码,它为用户的数据安全提供了必要的安全保障。如果一个用户的口令被非法用户获得,则非法用户就获得了该用户的权限,尤其是最高权限用户的口令泄漏以后,主机和网络也就失去了安全性。通过口令进行身份认证是目前实现物联网信息安全的主要手段之一。

弱口令即为弱势口令,指易于猜测、破解或长期不变更的口令,比如“123”等比较简单的口令。有此口令虽然不简单,但容易被人猜到,如自己的姓名、生日等,也属于弱口令。弱口令的存在是非常危险的,这样很容易被非法用户破解。

  • 服务内容

口令检测是网络安全扫描工具的一部分,它要做的就是判断用户口令是否为弱口令。如果存在弱口令,则提醒管理员或用户及时修改。所谓的暴力破解就是暴力口令猜测,是攻击者试图登录目标主机,不断输入口令,直到登录成功为止的攻击方法。它只需要能连接到目标主机的可登录端口,然后通过人工或自动执行工具软件一次次的猜测来进行判断,速度较慢。这种看似笨拙的方法却是黑客们最常用的方法,也往往是最有效的方法之一,因为物联网用户弱口令现象是普遍存在的。

黑客的暴力破解是对用户口令强度的考验,那么,在接受黑客考验之前,用黑客的方法先对密码强度进行检测,确保其可靠性,就会大大降低暴力破解的成功率。所以,弱口令扫描是网络安全扫描必不可少的环节。

目前常见的弱口令类型有TELNET、SSH、SNMP、FTP、MYSQL、MSSQL、ORACL、HTTP等。其中TELNET、SSH、FTP、MYSQL、MSSQL、ORACLE、HTTP等为TCP协议,都是通过用户名+密码的形式登录;SNMP为UDP协议,通过community字符串登录即可。

弱口令检查一般都是通过自动化工具批量进行,主要的难点在于字典的构造。通常来说,字典越大,扫描的效果就越好,但是扫描花费的时间也会越长,所以我们需要根据自己的任务紧急程度选择不同大小的字典。


移动互联网行业,拥有很多网络设备,所以我们需要结合设备本身的特性来优化字典。比如某网络设备的默认用户名是useradmin,默认密码是admin!@#$%^,此时我们就应该检查自己的用户名字典和弱口令字典中是否包含以上字符串,如果没有就应该将其加入到字典中。

  • 服务输出

《系统弱口令扫描检测报告》

  • 服务介绍

渗透测试服务,是在客户授权的前提下,以模拟黑客攻击的方式,对业务系统的安全漏洞、安全隐患进行全面检测,最终目标是查找业务系统的安全漏洞、评估业务系统的安全状态、提供漏洞修复建议。

在渗透过程中,我们会采用业界领先的漏洞检测技术、攻击技术、攻击工具和安全团队编写的脚本。过程分为四步:计划与准备、信息收集、实施渗透、输出报告。计划与准备阶段主要是根据业务系统反馈的内容制定项目实施方案与计划;信息收集与实施渗透是项目的实施阶段,输出报告主要是汇总和评估项目中发现的安全威胁,并输出文档。

  • 测试方法

  渗透测试服务采用的测试方法如下。

  (1)信息搜集

    信息探测阶段包括信息收集,端口、服务扫描,计算机漏洞检测,此阶段主要做渗透前的踩点用。

    使用工具:

  • Maltego ,搜集管理员email、tel、常用id,网络拓扑等
  • Nmap ,端口、服务扫描,弱口令破解,系统信息探测
  • X-scan ,端口、服务扫描,弱口令破解,系统信息探测 ,系统识别
  • Appscan ,Web漏洞检测程序
  • WVS ,Web漏洞检测程序
  • W3AF ,Web漏洞检测程序
  • Scanner ,各种类型的漏洞扫描工具,具备系统漏洞扫描、web漏扫扫描等一系列功能

 (2)端口扫描

    通过对目标地址的TCP/UDP端口扫描,确定其所开放的服务的数量和类型,这是所有渗透测试的基础。通过端口扫描,可以基本确定一个系统的基本信息,结合安全工程师的经验可以确定其可能存在以及被利用的安全弱点,为进行深层次的渗透提供依据。

 (3)口令猜测

    口令猜测也是一种出现概率很高的风险,几乎不需要任何攻击工具,利用一个简单的暴力攻击程序和一个比较完善的字典,就可以猜测口令。对一个系统账号的猜测通常包括两个方面:首先是对用户名的猜测,其次是对密码的猜测。

 (4)脚本测试

    脚本测试专门针对Web服务器进行。根据最新的技术统计,脚本安全弱点为当前Web系统尤其存在动态内容的Web系统存在的主要比较严重的安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权限,重则将有可能取得系统的控制权限。因此对于含有动态页面的Web系统,脚本测试将是必不可少的一个环节。

  • Hydra ,暴力破解工具,支持Samba, FTP, POP3, IMAP, Telnet, HTTP Auth, LDAP, NNTP, MySQL, VNC, ICQ, Socks5, PCNFS, Cisco等多种协议的暴力破解
  • Metasploit ,溢出程序利用平台
  • 菜刀 ,功力工具
  • Pwdump7 ,读取系统HASH
  • Cain ,内网sniffer工具
  • Disniff ,linux下嗅探工具

 (5)人工渗透

    人工渗透,主要针对系统的业务逻辑漏洞进行安全测试,利用业务逻辑漏洞查找可准确、切实的找出业务中存在的安全隐患,避免被恶意用户利用,对系统造成重大损失。

  • 测试内容

对业务系统的渗透测试,除使用产品和工具扫描外,更重要的需要进行人工渗透,渗透内容包括但不限于以下项,且需要对发现的漏洞进行验证和利用。

序号分类项目
1配置管理备份测试、HTTP方法测试、传输安全
2身份鉴别用户注册、账户权限、账户枚举、弱口令
3认证授权认证绕过、目录遍历、授权绕过、权限提升
4会话管理超时测试、会话管理绕过测试、会话令牌泄露测试、跨站点请求伪造CSRF测试
5输入验证SQL注入、代码注入、命令执行注入、跨站脚本XSS
6错误处理错误码分析、栈追踪分析
7业务逻辑数据验证、请求伪造、完整性、次数限制、上传测试
  • 服务输出

《系统渗透测试报告》

  • 服务介绍

漏洞扫描技术是一类重要的网络安全技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置,在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然。

  • 服务内容
      1. 定期的网络安全自我检测、评估
配备漏洞扫描系统,网络管理人员可以定期的进行网络安全检测服务,安全检测可帮助客户最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,有效的利用已有系统,优化资源,提高网络的运行效率。

      2. 安装新软件、启动新服务后的检查
由于漏洞和安全隐患的形式多种多样,安装新软件和启动新服务都有可能使原来隐藏的漏洞暴露出来,因此进行这些操作之后应该重新扫描系统,才能使安全得到保障。

      3. 网络建设和网络改造前后的安全规划评估和成效检验
网络建设者必须建立整体安全规划,以统领全局,高屋建瓴。在可以容忍的风险级别和可以接受的成本之间,取得恰当的平衡,在多种多样的安全产品和技术之间做出取舍。配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全规划评估和成效检验

      4. 网络的安全系统建设方案和建设成效评估
网络承担重要任务前的安全性测试网络承担重要任务前应该多采取主动防止出现事故的安全措施,从技术上和管理上加强对网络安全和信息安全的重视,形成立体防护,由被动修补变成主动的防范,最终把出现事故的概率降到最低。配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全性测试。
 
      5.网络安全事故后的分析调查
网络安全事故后可以通过网络漏洞扫描/网络评估系统分析确定网络被攻击的漏洞所在,帮助弥补漏洞,尽可能多得提供资料方便调查攻击的来源。
 
      6.重大网络安全事件前的准备
重大网络安全事件前网络漏洞扫描/网络评估系统能够帮助用户及时的找出网络中存在的隐患和漏洞,帮助用户及时的弥补漏洞。

      7.公安、保密部门组织的安全性检查
互联网的安全主要分为网络运行安全和信息安全两部分。网络运行的安全主要包括以ChinaNet、ChinaGBN、CNCnet等10大计算机信息系统的运行安全和其它专网的运行安全;信息安全包括接入Internet的计算机、服务器、工作站等用来进行采集、加工、存储、传输、检索处理的人机系统的安全。网络漏洞扫描/网络评估系统能够积极的配合公安、保密部门组织的安全性检查。
  • 服务分类
依据扫描执行方式不同,漏洞扫描产品主要分为两类:漏洞扫描不仅仅是以下三类,还有针对WEB应用、中间件等
      1.针对网络的扫描器
      2.针对主机的扫描器
      3.针对数据库的扫描器

基于网络的扫描器就是通过网络来扫描远程计算机中的漏洞;而基于主机的扫描器则是在目标系统上安装了一个代理(Agent)或者是服务(Services),以便能够访问所有的文件与进程,这也使得基于主机的扫描器能够扫描到更多的漏洞。二者相比,基于网络的漏洞扫描器的价格相对来说比较便宜;在操作过程中,不需要涉及到目标系统的管理员,在检测过程中不需要在目标系统上安装任何东西;维护简便。

主流数据库的自身漏洞逐步暴露,数量庞大;仅CVE公布的Oracle漏洞数已达1100多个;数据库漏扫可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。
  • 服务输出

《漏洞扫描报告》

  • 服务介绍

日志分析 是一个由网络、操作系统、应用程序、服务器和其他硬件和软件组件生成的日志审查和解释的过程 IT 堆栈基础设施和应用程序的性能和健康状况。日志通常包含时间序列数据,要么使用收集器实时流式传输,要么存储以供以后查看。日志分析提供了对系统性能的洞察,并指出了安全漏洞或即将到来的硬件故障等可能的问题。

由于日志提供了应用程序性能和运行条件的可见性,日志分析可以让操作和开发团队了解和补救业务操作过程中的任何性能问题。包括:

  • 遵守治理和监督的要求和内部政策
  • 跟踪安全漏洞和数据泄露,确定责任方,采取行动补救漏洞。
  • 帮助诊断和排除整个堆栈的故障
  • 跟踪用户行为异常,检测恶意图或损坏系统
  • 协助对 恶意软件 进行证据调查
  • 服务内容

日志是由应用程序、网络、设备(包括可编程和物联网设备)和操作系统生成的时间序列记录。它们通常存储在文件或数据库中,或用于实时日志分析,称为日志收集器。

日志分析师的任务是帮助解释上下文中的所有日志数据和信息,这需要规范日志数据,以确保使用一组通用术语。这可以防止在一个功能发出“正常”信号而其他功能发出“绿色”信号时可能出现的混淆,而它们都表示不需要采取行动。

通常,为日志分析程序收集日志数据,清理、结构化或标准化,然后由专家分析检测模式或发现异常,如网络攻击或数据泄露。执行日志文件分析通常遵循以下步骤:

  • 数据数据库收集了来自硬件和软件探针的数据。
  • 数据索引:所有来源的数据都集中和索引,以加快可搜索性,增强可搜索性 IT 能够快速发现问题或模型。
  • 分析:日志分析工具,包括标准化、模式识别、相关性和标记,可以用机器学习工具自动或必要时手动完成。
  • 监控:实时、独立的日志分析平台在检测测到异常时产生报警。这种类型的自动化日志分析是为了整个 IT 堆栈是大多数持续监控的基础。
  • 报告:传统的报告和仪表板是日志分析平台的一部分,为运营、开发和管理利益相关者提供指标概述或历史视图。
  • 服务输出

《系统日志分析报告》

  • 服务介绍

由于移动应用本身存在的开放系统,开放网络,开放工具等问题,还有参与应用开发的工作人员的参差不齐,以及各种第三方的工具和SDK的集成,移动应用可能存在各种安全隐患、Bug、漏洞甚至人为的后门。企业由于自身的限制不会去严格审查这些程序和业务的安全性,而黑客借助第三方破解工具可以很轻松的破解移动移动应用,获得程序的核心代码和逻辑。

为了规避移动应用安全风险、规范移动应用安全开发,我公司制定了《移动应用安全检测服务》,APP安全检测就是对APP进行常规和非常规的检测,强大的安全技术专家团队并给出针对性漏洞解决方案和安全修复建议,帮助APP开发者发现并解决APP应用存在的安全问题。

  • 服务内容

移动应用安全检测分析系统包括安全检测,app漏洞扫描,风险评估和解决方案。安全检测分析系统使用静态扫描和动态扫描结合的方式,另外还有模拟交互检测,自动化渗透检测,服务器指纹探测等多种检测方式,最大限度覆盖应用的各个层面,检测出潜在的安全漏洞和安全风险,可以准确识别植入到应用中的恶意代码。

移动应用安全检测分析系统可自动化快速检测分析启明定制的多达100+项深度检测项目,覆盖全面。强大的安全技术专家团队给出安全修复建议,针对性强。帮助开发者了解并提高其开发程序的安全性。检测分析系统检测高效、快速,精准,安全效果提升明显。

  • 服务输出

《移动应用安全检测报告》

  • 服务介绍

代码审计服务是从安全的角度对代码进行的安全测试评估,通过分析当前应用系统的源代码。在熟悉业务系统的情况下,从应用系统结构方面检查其各模块和功能之间的关联、权限验证等内容;从安全性方面检查其脆弱性和缺陷。结合丰富的安全知识、编程经验、测试技术,利用静态分析和人工审核的方法寻找代码在架构和编码上的安全缺陷,在代码形成软件产品前将业务软件的安全风险降到最低。

  • 服务内容
代码审计服务的目的在于,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。对下一步的编码安全规范性建设具有重大意义。通过实施代码安全审计,以较小成本快速发现系统中的代码安全漏洞、快速评估系统代码安全风险,有助于增强系统安全性,抵御黑客恶意攻击, 保护信息系统资产。
 

代码审计工作方法主要包括以下四方面:

◇应用访谈:主要通过对开发人员的安全访谈,审计应用系统整个安全架构和相应安全防护措施,评估其是否符合国际主流的安全架构设计要求

工具审计:主要对和安全相关的几大环节代码进行工具扫描,发现程序代码是否存在病毒、常见安全漏洞等问题。

人工审计:人工对关键环节的代码以及进行逐行代码审计,分析程序代码安全性,发现安全漏洞,并对工具审计和应用访谈结果进行核实和验证,保证检查的完整性和真实性

模糊测试:通过渗透测试的方法(渗透测试的工作方法及工作内容描述,详见本文第3章节具体内容),以模拟黑客攻击的手段,从外部访问者的角度对应用系统程序代码进行安全漏洞发现和漏洞利用的验证

  • 服务输出

《代码审计报告》