文档简介:
常见问题
Q:天翼云渗透测试有哪些优势?
A:1.业内领先的咨询顾问团队
参考国际和国家规范,对系统进行科学有效的风险评估,
顾问团队拥有CISP、CISSP、ISO27001、 Security+等专业资质和多年丰富的项目经验。
2.运营商级别的实践能力
技术顾问具备多年的信息系统安全评估和保障服务经验,具有丰富的网络和系统整改项目经验。
通过科学、标准的服务流程,以及完善的项目管理和质量保障机制,提供全面可靠的安全服务。
Q:云渗透测试有哪些规格?
A:不同企业建议根据实际情况分成三种规格:小型应用系统,最多1个应用系统;
中型应用系统,最多5个应用系统;
大型应用系统,最多20个应用系统。其他规格需要根据实际情况协商确定。
Q:天翼云安全渗透测试服务是否存在安全风险?
A:由于渗透测试中所使用的自动化扫描工具的部分功能选项是采用模拟攻击方法进行测试,
以及客户具体系统架构等因素,在扫描的过程中可能会对系统造成一定的影晌引入不确定的系统停机、
服务停止风险。具体风险会在评估前确定并制定应急预案。
Q:天翼云安全渗透测试服务网络要求?
A:应用系统网络与扫描器网络可达即可提供渗透测试。
Internet默认可达,内网地址需部署扫描器在内网即可。
Q:天翼云安全渗透测试服务流程是怎样的?
A:
Q:天翼云安全渗透测试服务内容包括哪些?
A:1.身份认证测试
检査是否满足安全设计要求中的身份认证要求,检查是否存在密码被破解、
登录被回放、登录被绕过的缺陷,确保登录验证安全有效。
2.授权管理测试
检查页面是否满足安全设计要求中的访问控制要求,检查用户在未授权的情况下是否成功办理需要授权的业务。
检查是否存在踣站请求伪造、路径谝历、授权绕过、会话重放等。
3.数据验证测试
检查是否满足安全设计要求中输入验证的要求,确保应用系统正常显示业务办理信息。
检查是否存在SQL注入、跨站脚本攻击、 XPATH注入、SSI注入、命令注入、
缓冲区溢出、上传文件验证、未经验证的URL重定向。
4.可用性测试
检查系统是否存在帐号锁定设计缺陷及应用拒绝服务缺陷。
5.配置管理测试
检查存在中间件配置缺陷导致的应用系统漏洞。
检查是否存在SSL漏洞、敏感信息泄露、默认文件和目录、基础结构配置管理、
非必要文件检索、HTIP请求方法滥用、目录索引
6.后门测试
检查应用系统各页面是否存在后门程序。
Q:天翼云安全渗透测试服务各阶段时间安排?
A:客户确认阶段:第1周,预计一周时间供双方协商测试方案;
进行测试阶段:第2-3周,预计两周时间;
整改复测阶段:提交测试报告后1个月内客户可以提交复测申请,复测在1周内完成;
质保服务阶段:从报告交付日开始,为期12个月;
注:客户仅能在客户确认阶段发起退款,一旦开始测试阶段,将不受理退款。
