渗透测试服务

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

• 应用系统开发者在设计开发系统时，一般将大多数精力都花在考虑满足用户应用，如何实现业务等方面，而很少考虑系统开发过程中存在的安全漏洞，这些漏洞在不关注系统安全的用户眼里几乎不可见，在正常的系统访问过程中，这些漏洞也不会被察觉。但对于别有用心的攻击者而言，这些漏洞很可能会对系统带来致命的伤害。

• 作为安全工作人员，我们无法预知黑客会在什么时候发动攻击，但我们能预知我们系统的漏洞在哪里。进攻是最好的防守，攻击是最好的动态防护，定期对系统进行渗透测试，能主动发现系统中隐藏的漏洞，促使系统不断加固，从根本上提升系统面对攻击的防护能力。

  渗透测试服务，是一项为了防止应用系统被攻击者非法入侵，主动对系统进行的授权攻击测试，通过模拟攻击主动发现系统潜在的安全漏洞并提供针对性的修复建议。渗透测试在开始实施前，用户必须签订《渗透测试授权书》。

• 渗透测试的内容，包括但不限于缓冲区溢出测试、本地权限提升、SQL注入、XSS跨站、网页挂马、上传漏洞、权限提升漏洞、数据库漏洞、源代码泄露等，从而确保测试的全面性，有效发现业务系统的安全漏洞。

  渗透扫描的流程为：签订授权书->工具渗透测试->人工渗透测试->渗透测试报告->渗透测试复测。

• 渗透测试服务的交付成果，包括《渗透测试报告》和《渗透测试复测报告》。