服务分类
腾讯云渗透测试服务的内容是可定制的,根据客户的不同需求,可调整渗透的重点方向,也可以对检测手段进行调整或裁减。
渗透测试服务按测试程度的不同,可分为常规渗透和业务逻辑渗透,按渗透目标的不同,可分为公有云与私有云。详见下表:
测试程度 | 测试目标 | 交付结果 | |
| | 公有云 | 私有云 |
常规渗透 | 远程模拟黑客入侵方式对公有云进行技术攻击测试 | 现场模拟黑客入侵方式对私有云进行技术攻击测试 | 输出事件处理报告并提出整改建议 |
业务逻辑渗透 | 远程模拟黑客入侵方式对公有云进行业务逻辑测试 | 现场模拟黑客入侵方式对私有云进行业务逻辑测试 | 输出事件分析报告并提出整改建议 |
服务范围
腾讯云安全服务团队提供的渗透测试服务覆盖主流的 IT 基础架构,保证漏洞发现的广泛覆盖。
IT 架构组件 | 覆盖范围 |
系统安全 | Windows、Linux、Unix、 AIX、Solaris、FreeBSD 等主流操作系统 |
数据安全 | Mysql、PostgreSQL、Microsoft SQL Server、Sybase、Oracle、Firebird、SQLite、DB2、Informix 等主流数据库系统 |
服务器 | IIS、Tomcat、Apache、JBoss、Weblogic 等主流服务器 |
开发语言 | PHP、JSP、ASP 等主流开发语言开发的 Web 应用 |
测试分类
白盒测试 (White-Box Testing)
白盒测试渗透者可以通过正常渠道向被测用户获取各种资料,目的是模拟企业内部雇员的越权操作,通常包括从组织外部和组织内部两种方式进行渗透测试。
黑盒测试 (Black-Box Testing)
黑盒测试是除测试目标已公开的信息外,用户不向渗透者提供任何其他信息,最初信息的获取来源为 DNS、Web、email 等对外公开的服务器。渗透者通常只从组织的外部进行渗透测试。
灰盒测试 (Grey-Box Testing)
灰盒测试是介于白盒测试与黑盒测试之间的一种测试。灰盒测试被测单位中仅有极少数人知晓测试的存在,渗透测试的目的是检测用户单位中信息安全事件的监控、响应、恢复是否到位。
服务流程
1. 单击 立即申请 进入渗透测试服务申请页面,填写相关信息并提交申请。
2. 在线申请完成后,腾讯云安全专家和销售团队会与客户进行需求沟通,提供服务信息和报价信息。
3. 在确认客户安全需求后,双方签订合同,客户完成付款。
4. 腾讯云会与客户协商实施方式是由腾讯云实施或腾讯云推荐第三方实施(第三方实施过程腾讯云监督审计),实施过程包括渗透方案客户授权、渗透信息收集分析、渗透实施操作验证、渗透实施报告输出,实施完成后输出报告,最后由客户进行服务验收确认。
实施流程
腾讯云渗透测试总体实施流程图如下,实施步骤请详见表格:
渗透方案客户授权
阶段目标 | 客户知晓方案、流程实施细节,获取客户授权 |
阶段任务 | 制定渗透流程、交付实施方案、签署实施申请、客户授权许可 |
阶段步骤 | 方案提交、方案讲解、方案认同、方案采纳、实施申请、客户授权 |
交付成果文档 | 《渗透测试实施方案》《渗透实施申请报告》 |
渗透信息收集分析
阶段目标 | 提高模拟渗透攻击的成功率、有效降低渗透攻击测试的风险 |
阶段任务 | 完成目标系统信息采集分析、根据结果提交风险规避方案 |
阶段步骤 | 网络收集、端口扫描、系统判别、应用分析、账户扫描、漏洞扫描 |
交付成果文档 | 《风险规避措施方案》 |
渗透实施操作验证
阶段目标 | 渗透测试获取管理权限、完全控制目标信息系统主机 |
阶段任务 | 利用目标漏洞、提升渗透权限、控制目标系统、交付渗透记录 |
阶段步骤 | 验证漏洞、获得权限、提升权限、控制系统、渗透收尾、生成记录、问题讨论 |
交付成果文档 | 《渗透测试实施记录》 |
渗透实施报告输出
阶段目标 | 渗透成果汇报、安全隐患识别、安全意识提高、防护能力增强 |
阶段任务 | 交付实施报告、安全建议指导、服务产品验收 |
阶段步骤 | 记录整理、生成报告、报告交付、安全建议、服务验收 |
交付成果文档 | 《渗透测试实施报告》 |