定义
一个全方位的安全评估是指对于你系统中可能存在的给黑客以非授权接入或者给雇员破坏的薄弱点加以分析和记录。
方法
- 我们从公开搜索公司的网络,新闻组,邮件列表等入手。我们扫描所有公开的可获得的信息中的 DNS记录,信息和名单目录 。
- 接着我们通过整个系统来测定拓扑,网络的硬件和软件构成,提供商的服务器以及版本。然后我们会对记录或者没有记录的薄弱点进行分析和辨认 。这同样包括了应用层的测试,它是非常重要的,但却经常被常规测试所忽略 。
- 接着我们检查和认证机制和接入控制机制 。检查所有级别的雇员对于所有网络资源的进入许可 。
- 我们假设了所有具有不同知识,技巧的黑客 : 从新手到有经验者再到老手,或者是那些在公司内部网络里面的人 。
- 不像其他公司,我们不在扫描端口和薄弱点接入工具中停止 。我们在所有的程序中运行,手工的测试应用层级别的薄弱点,同时我们会暴露发现的薄弱点以证明黑客侵袭的实际影响。我们过去在软件中的寻找薄弱点体现了我们在薄弱点估计上已经遥遥领先 。
弱点
一些我们所测试的薄弱点包括 :
• 缓冲器溢出
• 格式串
• SQL 错误
• 网页间的脚本
• 信息泄漏
• 路径泄漏
• 目录移动
• 会议管理薄弱点
• 薄弱的加密算法 / 协议
• 认证错误
• 授权错误
• 网络服务器薄弱点
• 操作系统薄弱点
• 针对应用的弱点,比如 Microsoft Exchange,OWA等等 。
交付
联系我们以获得全面测试报告
报告将下面几点详细描述 :
• 用严重性来对已经发现的薄弱点进行排列
• 解决这些薄弱点的对策
• 对于系统安全的长期意见
为什么选择我们?
根据我们过去在安全评估上的经验,没有任何系统,平台或者他们的组合我们不能测试。在我们的用户名单上,顶级的银行,政府机构,电子贸易公司,和其他的客户,我们建立一个以谨慎,信用,和严格的职业精神为主的信誉。
