服务中心

 

强大的技术专家团队,专于技术,精于品质、提供最优质的安全服务!

服务概述

渗透测试是通过在实际系统中进行模拟黑客攻击手法的方式,对计算机网络系统安全的一种评估方法。渗透测试(在确保不造成任何破坏和数据安全的前提下)过程对目标系统的安全做深入探测,发现系统脆弱性部分。围绕业务系统进行多方面深度渗透测试,评估网络、应用、数据库是否存在被黑客攻击利用的风险,帮助客户发现自身网络和应用系统的弱点。并验证评估结果,最终提出更精确、更有效的解决建议。

考虑到互联网作业线上的业务会根据实际业务需求频繁的更新迭代,所以无论是开发还是运维,在频繁变化的状态下难免会出现疏漏,因此需要定期的对产品或服务进行安全评测,以此发现真实存在的安全问题并加以控制、修复;此外也可以加强工程人员对安全的理解和认识,真实体验到安全问题的严重性。结合测试技术(标准)对评测目标进行模拟黑客真实入侵,从而最大程度地挖掘出安全威胁的所在,结果将形成包括详细的威胁位置、成因、修复建议等内容的专业安全评测报告。

服务框架
主机操作系统 数据库系统 应用系统 网络设备 合伙模拟 移动应用接口
Windows、Solaris、AIX、
Linux、SCO、SGI等操作
系统。
MS-SQL、Oracle、MySQL、
Informix、Sybase、DB2、
Redis等数据库。
如ASP、CGI、JSP、PHP、
Ruby、Python等组成的
WEB应用。
各种防火墙、入侵检测系统、
路由器、NAS等网络设备。
Android、IOS、Windows。 智能门锁、智能电视。

服务流程

实施原则
  • 标准性原则

    漏洞扫描方案的设计和实施应依据行业、国家、国际的相关标准进行。

  • 规范性原则

    整个扫描工作过程符合项目管理流程,出具相关规范性的工作过程文档。可的范围之内合法进行。

  • 可控性原则

    在保证扫描质量的前提下,按计划进度执行,需要保证对漏洞扫描工作的可控性。漏洞扫描的工具、方法和过程要在双方认可的范围之内合法进行。

  • 整体性及有限性原则

    漏洞扫描的内容应包括用户等层面,漏洞扫描的对象应包括和仅限于用户所指定的具体设备及系统,未经用户授权不得减小或扩大漏洞扫描的范围和对象。

  • 最小影响原则

    漏洞扫描工作应避免影响系统和网络的正常运行,尽量不对正常运行的系统和网络构成破坏和造成停产。

  • 保密原则

    漏洞扫描的过程和结果应严格保密,不能泄露扫描项目所涉及的任何打印和电子形式的有效数据和文件以及其它的网络数据。

服务优势

公司拥有专业技术团队成员30余人具备国际顶尖水平和极为丰富的实战经验, 曾服务于多家知名的世界500强企业和政府机构。

我们提供的高级渗透测试服务,由安全行业从业10年以上的顶尖安全专家团队组成,具备强大的漏洞研究与挖掘的技术实力,他们具备良好的职业操守,严格遵循专业化测试流程。曾为国内五大行提供过渗透测试服务,帮助客户检测出多达上千个系统漏洞及安全风险,出具专业的渗透测试服务报告及可靠的修复方案,为企业客户防患于未然,避免了由安全风险带来的巨大损失。

由顶尖安全专家基于不同企业的安全需求和架构,定制专属安全方案,提供包含但不限于漏洞复验、实时监控、代码审计、安全培训、架构咨询等服务内容,严格把关各个环节,防范一切潜在威胁,真正提高企业用户的安全性。

典型案例
  • 1.国内五大行渗透测试
  • 2.国内某金融机构
  • 3.2008年奥运会信息安全防护

服务概述

移动互联网已经超越PC互联网,引领发展新潮流。但是在移动网络大众化、应用开发技术飞速演变、黑客工具日益普及的今天,攻击手段也层出不穷,给移动互联网的发展带来的威胁与日俱增。

为了规避移动应用安全风险、规范移动应用安全开发,移动安全检测通过对移动App、公众号,移动测试人员针对APP进行自身安全测试和App后台安全测试,四维移动安全团队以多年专业的App安全检测经验为厂商提供全面客观的App安全测试过程和结果。

服务框架
配置安全测试 数据安全测试 接口安全测试 平台安全测试 App自身安全测试
操作系统、数据库系统,应用层面配置检查,常规问题有没有规避。 重要敏感信息加密存储检测,隐私数据相关的控制和管理检测。 接口通信测试,检测通信过程是否可以被劫持,通信数据完整性测试,接口安全渗透测试,检测后端接口是否存在漏洞被非法利用。 App有没有运行环境管理,平台重要操作有日志检测;日志中信息泄漏风险检测,代码内敏感信息泄漏检测。 App反编译措施,如防二次打包、第三方加固、代码混淆等。APP完整性检查,禁止第三方未授权调用。关键业务安全防护措施,如支付等有没有使用软键盘等。

服务流程

服务优势

公司拥有专业技术团队成员30余人具备国际顶尖水平和极为丰富的实战经验, 曾服务于多家知名的世界500强企业和政府机构。

我们提供的移动安全检测服务,由安全行业从业10年以上的顶尖安全专家团队组成,在移动安全领域拥有丰富的积累,同时结合我们公司渗透测试能力可以提供从App到服务端的一系列完善的安全检测,最大程度上发现整个业务环节上的威胁。我们的移动安全检测团队常年为国内一线的金融客户提供移动安全检测服务,帮助客户检测出多达上千个系统漏洞及安全风险,出具专业的移动安全测试服务报告及可靠的修复方案,为企业客户防患于未然,避免了由安全风险带来的巨大损失。

服务概述

随着智慧城市、大数据时代的来临,无线通信将实现万物连接,预计未来全球物联网连接数将是千亿级的时代。我们正进入万物互联(IoT)的时代,IoT设备为吸引消费者,提升服务提供了新机遇,对于制造、销售或使用IoT设备厂商和用户而言,意味着紧迫的安全隐患,大量设备会保留硬件调试接口,便于生产时程序的烧录,以及售后的问题诊断,容易被攻击者利用;固件中保留调试的隐藏命令,固件的升级和信息泄露也是攻击者的重点目标。

物联网安全检测服务是针对物联网设备、通信、组件的安全检测,具备设备漏洞挖掘、健壮性测试、深度安全检测等多层次、多维度的安全综合检测技术能力,提供技术领先、标准规范的物联网设备安全检测服务。

服务框架
loT风险 端口/接口安全 应用安全 固件安全 通信安全 设备服务
服务范围:组件间的隐式信任、注册安全、退役系统、没有访问控制程序等。 逻辑端口、服务安全、API接口安全、物理接口安全(JTAG、SWID、UART等)。 OWASP TOP10、CWE TOP25、设备/云隐式信任、用户名枚举、账户锁定、已知默认的凭证、弱密码、不安全数据存储、传输层加密、不安全密码恢复机制、双因素认证。 硬编码凭证、敏感信息泄露、敏感URL泄露、加密密钥、加密算法(对称,非对称)、固件版本显示,最新更新日期、后门账号、有漏洞的服务 (web, ssh,tftp, etc.)、安全相关的函数API暴露、固件降级等。 局域网安全、局域网到互联网、短距离通信、不标准应用、无线机制 (WiFi, Z-wave, Zigbee,Bluetooth)、协议模糊性测试。 智能家电、智慧城市、智能汽车、无线组网、工控设备。

服务流程

服务优势

公司拥有专业技术团队成员30余人,渗透工程师均具备国际顶尖水平和极为丰富的实战经验, 曾服务于多家知名的世界500强企业和政府机构。

公司自建物联网安全实验室,长期从事物联网设备、通信、系统的安全研究,在设备健壮性测试、物联网网络协议分析、设备固件安全深度分析、无线通信方面有深入的研究。公司团队常年为国内的多家大型工控、车联网和智能家居制造商提供安全检测,拥有丰富的物联网安全检测经验。