服务概述

WEB应用是互联网上最为丰富的资源呈现形式,由于其访问简单、拓展性好等优点,目前在资讯、电子政务、电子商务和企业管理等诸多领域得到了广泛的应用。与此同时,WEB应用、APP和微信程序代码,也面临着数量庞大、种类繁多的安全威胁,操作系统、通信协议、服务发布程序和编程语言等无不存在大量安全漏洞。WEB应用的安全事件频频发生,究其根源,关键原因有二:一是WEB应用自身存在技术上的安全漏洞和安全隐患;二是相关的防护设备和防护手段欠缺。WEB应用的体系架构一般分为三层,底层是操作系统,中间层是Web服务程序、数据库服务等通用组件,上层是内容和业务相关的网页程序。这三层架构中任何一层出现了安全问题都会导致整个WEB应用受到威胁,而这三层架构中任何一层都不可避免地存在安全漏洞,底层的操作系统(不管是Windows还是Linux)都不时会有黑客可以远程利用的安全漏洞被发现和公布;中间层的Web服务器(IIS或Apache等)、ASP、PHP等也常会有漏洞爆出;上层的网页程序有SQL注入、跨站脚本等Web漏洞。另一方面,目前很多WEB应用的防护设备和防护手段不够完善,虽然大部分网站都部署了防火墙,但针对WEB应用漏洞的攻击都是应用层的攻击,都可以通过80端口完成,所以防火墙对这类攻击也是无能为力,另外,有些网站除了部署防火墙外还部署了IDS/IPS,但同样都存在有大量误报情况,导致检测精度有限。为此,带有攻击性安全测试成为发现和解决WEB安全问题最有效和最直接的手段。


WEB应用的安全事件频频发生,究其根源,关键原因有二:一是WEB应用自身存在技术上的安全漏洞和安全隐患;二是相关的防护设备和防护手段欠缺。WEB应用的体系架构一般分为三层,底层是操作系统,中间层是Web服务程序、数据库服务等通用组件,上层是内容和业务相关的网页程序。这三层架构中任何一层出现了安全问题都会导致整个WEB应用受到威胁,而这三层架构中任何一层都不可避免地存在安全漏洞,底层的操作系统(不管是Windows还是Linux)都不时会有黑客可以远程利用的安全漏洞被发现和公布;中间层的Web服务器(IIS或Apache等)、ASP、PHP等也常会有漏洞爆出;上层的网页程序有SQL跨站脚本等Web漏洞。另一方面,目前很多WEB应用的防护设备和防护手段不够完善,虽然大部分网站都部署了防火墙,但针对WEB应用漏洞的攻击都是应用层的攻击,都可以通过80端口完成,所以防火墙对这类攻击也是无能为力,另外,有些网站除了部署防火墙外还部署了IDS/IPS,但同样都存在有大量误报情况,导致检测精度有限。为此,带有攻击性安全测试成为发现和解决WEB安全问题最有效和最直接的手段。

服务框架

通过安全检测、渗透测试和APT测试,可以深入的了解信息系统面临的风险和威胁,更好的让使用单位采取有效的措施积极防御。安全测试和渗透测试服务框架 如下图所示:
服务框架
服务优势
亚太免备案CDN的渗透测试服务完全模拟黑客的行为,对客户网站进行入侵尝试,帮助用户理解黑客是如何思考的,比黑客更早的发现问题。
渗透测试服务将尝试利用每一个漏洞获取敏感数据、管理后台、服务器权限,让你真正的理解漏洞的危害大小。
我们确信安全专家的经验是扫描器所不可能替代的。因此为了保证效果,我们的每一次渗透测试都是由安全专家手动实施。
我们的专家团队拥有丰富的安全行业经验。在渗透测试完成后,还会提出可实施性强的专业修复建议,帮助用户真正解决安全问题。