渗透测试服务方案

    渗透服务是由专业渗透测试人员发起的模拟黑客入侵的过程，整个过程充分借助专业人员的技能与经验，挖掘传统自动化检测工具所无法识别的安全漏洞，如：定制开发功能的安全漏洞、业务逻辑导致的漏洞等。

    渗透测试服务的输出结果还是安全防护与安全监控的一个重要参考依据，通过渗透测试服务，可更好的了解防护与监控对象的安全性，制定更为贴合系统要求的防护与监控策略。

服务内容

    鸿迪鑫业将派出专业的测试团队，针对用户实际情况，从以下测试策略中选择针对性策略形成测试方案进行测试：

    1. 身份认证测试：检查是否满足安全设计要求中的身份认证要求，检查是否存在密码被破解、登录被回放、登录被绕过的缺陷，确保登录验证安全有效。

    2. 授权管理测试：检查该页面是否满足安全设计要求中的访问控制要求，检查用户在未授权的情况下是否成功办理需要授权的业务。

    3. 数据验证测试：检查是否满足安全设计要求中输入验证的要求，确保应用系统正常显示业务办理信息。

    4. 可用性测试：检查系统是否存在帐号锁定设计缺陷及应用拒绝服务缺陷。

    5. 配置管理测试：检查存在中间件配置缺陷导致的应用系统漏洞。

    6. 后门测试：检查应用系统各页面是否存在后门程序。

渗透测试流程

    鸿迪鑫业渗透测试服务基本流程如下：

    在渗透测试过程中，测试人员会尝试挖掘和获取以下信息：

    1. 系统与应用基础信息

    2. 业务敏感信息

    3. 注入漏洞

    4. 跨站脚本(XSS)

    5. 跨站请求伪造(CSRF)

    6. 认证破解

    7. 用户权限(授权)管理缺陷

    8. 用户会话管理

    9. 文件上传绕过

    10.敏感提交信息恶意构造

    11. 目录跳转恶意构造

    12.参数操纵/参数恶意构造

    13.业务逻辑破坏/恶意构造

条件与限制

    系统安全测试涉及到系统软件平台配置、系统代码的差异及应用情况，本次测试得出的系统安全状态将只作为该特定环境的测试结果。

服务交付

    渗透测试服务完成后，测试人员将输出以下报告：

    1. 《漏洞信息汇总表》

    2. 《测试过程记录表》

    3. 《Web系统安全渗透测试报告》

    4. 《Web系统安全风险紧急通报》（根据情况按需输出）