WEB与APP安全测试标准:OWASP
漏洞手工挖掘与深度渗透测试
远程代码执行 CSRF 、Man in the middle attack 、No encryption 、No certification 、Sql Injection 等。
北京铠撒网安学院拥有大量的CISSP、CISP、CPTE、ISO27001资质认证的专业化的渗透测试团队,渗透人员包括安全架构师、风险分析评估师、手工渗透底层工程师、网络安全项目高级经理构成了铠撒网安立体式渗透架构、为能源电力行业、跨国车企行业、移动通讯行业、金融等领域提供专业渗透服务达十二年 。
铠撒团队通过头脑风暴、快速原型、角色转换等方法逐层深入挖掘用户的复杂安全需求,并形成安全渗透标准化流程、开展手工与自动化工具相结合的工作方式 、专家指导与底层渗透的角色互补模式、坚持我们铠撒人的 “安全源自未雨绸缪、保障贵在风雨同舟”的理念 、为用户的企业网络安全保驾护航!
铠撒团队早在2016年就已经在车企行业开展了渗透测试项目,**汽车的渗透测试实践项目就是其中之一。
在**汽车项目开展前,铠撒团队会同**管理层就Web及App执行应用程序安全漏洞评估达成一致目标,评估基于从风险发生概率和脆弱性影响中提取的分类,包括手动安全测试和分析应用程序中可能导致未经授权访问应用程序的漏洞、其中包含的数据、基础操作系统和电子商务功能等。
铠撒团队从大量可用测试工具中选择了一个合理的子集,除此之外,还使用了以下工具:
在本次渗透测试中发现的汽车共享后端和移动版仍然存在一些严重的漏洞,铠撒团队通过结合车企的行业特点及要求提出了相关不符合项报告及安全架构加固建议。
部分高危漏洞手工测试发现截图
该**汽车渗透测试项目的成功,充分发挥了铠撒团队在车企行业渗透测试的优势,为企业明确了安全隐患点,降低了网络安全风险,提高了操作人员安全意识及安全技能,实时检测企业的检测预警能力,为企业下一步网络安全工作提供决策依据。
閱讀更多 趙老師話安全 的文章
