WEB與APP安全測試標準:OWASP
漏洞手工挖掘與深度滲透測試
遠程代碼執行 CSRF 、Man in the middle attack 、No encryption 、No certification 、Sql Injection 等。
北京鎧撒網安學院擁有大量的CISSP、CISP、CPTE、ISO27001資質認證的專業化的滲透測試團隊,滲透人員包括安全架構師、風險分析評估師、手工滲透底層工程師、網絡安全項目高級經理構成了鎧撒網安立體式滲透架構、為能源電力行業、跨國車企行業、移動通訊行業、金融等領域提供專業滲透服務達十二年 。
鎧撒團隊通過頭腦風暴、快速原型、角色轉換等方法逐層深入挖掘用戶的複雜安全需求,並形成安全滲透標準化流程、開展手工與自動化工具相結合的工作方式 、專家指導與底層滲透的角色互補模式、堅持我們鎧撒人的 “安全源自未雨綢繆、保障貴在風雨同舟”的理念 、為用戶的企業網絡安全保駕護航!
鎧撒團隊早在2016年就已經在車企行業開展了滲透測試項目,**汽車的滲透測試實踐項目就是其中之一。
在**汽車項目開展前,鎧撒團隊會同**管理層就Web及App執行應用程序安全漏洞評估達成一致目標,評估基於從風險發生概率和脆弱性影響中提取的分類,包括手動安全測試和分析應用程序中可能導致未經授權訪問應用程序的漏洞、其中包含的數據、基礎操作系統和電子商務功能等。
鎧撒團隊從大量可用測試工具中選擇了一個合理的子集,除此之外,還使用了以下工具:
在本次滲透測試中發現的汽車共享後端和移動版仍然存在一些嚴重的漏洞,鎧撒團隊通過結合車企的行業特點及要求提出了相關不符合項報告及安全架構加固建議。
部分高危漏洞手工測試發現截圖
該**汽車滲透測試項目的成功,充分發揮了鎧撒團隊在車企行業滲透測試的優勢,為企業明確了安全隱患點,降低了網絡安全風險,提高了操作人員安全意識及安全技能,實時檢測企業的檢測預警能力,為企業下一步網絡安全工作提供決策依據。
閱讀更多 趙老師話安全 的文章
