深圳列举网 > 商务服务 > 网站/软件服务 > 案例分享   某985高校渗透测试项目
深圳
[切换城市]

案例分享   某985高校渗透测试项目

更新时间:2024-11-29 17:57:20 浏览次数:1次
区域: 深圳 > 南山 > 华侨城
类别:其他
地址:广东深圳
                        🌍 背景介绍
● 本次合作是一家软件开发商找到我们的,该企业承担多项、省部级重大科研项目以及地方政府、高校和研究所项目,主要从事开发地学大数据平台以及其他业务,他们给某985高校开发了一个数据平台,通过该企业让校方直接与我们对接合作。

📍项目需求
●业务安全需求:校方主要是想通过本次合作,检查平台功能是否有存在安全漏洞,达到开放商与校方项目成功验收的目的,以及检测系统的安全性。●安全业务需求:本次检测的数据平台可以为用户提供地图浏览、包括地图放大、缩小、漫游、历史地名查询等,作为研究使用。通过安全检测来查找系统的未知风险。

📍项目内容
天磊卫士相关人员与校方做了深入的沟通,基于校方的实际需求和预算,开展了本次渗透测试工作。
用户系统:某985高校xx数据平台
解决方案:天磊卫士安全团队对客户的业务系统进行渗透测试,针对目标系统,模拟常见所使用的攻击手段,进行模拟入侵,找出未知系统中的脆弱点和未知脆弱点,并出具相关安全报告和整改建议。
服务交付成果:《渗透测试报告》
项目规模:中
项目成果:本次渗透测试工作中发现8个漏洞,分别为3个高危、2个中危和3个低危漏洞。
1. 高风险漏洞
1)弱口令/空口令(高风险)是指认证登录环节存在弱口令或允许空口令。
2)任意用户注册导致获取同账户信息(高风险)注册页面处存在逻辑漏洞可进行任意用户注册,当用户名相同情况下,可获取同用户名信息。
3)跨站脚本攻击XSS(高风险)是指攻击者向Web页面里插入恶意的脚本代码(如javascript脚本),当用户浏览该Web页面时,嵌入其中的脚本代码会被执行,达到攻击用户的目的。
2. 中风险漏洞

1)短信/邮件炸弹(中风险)是指应用系统未限制手机短信的发送次数和频率,造成短时间内大量短信发送至接收者手机,容易导致死不可用。
2)短信验证码绕过(中风险)是指短信验证码可被绕过,执行其他操作,如可多次使用或发现特权验证码。
3. 低风险漏洞
1)敏感文件信息泄露(低风险)是指应用中存在可以直接通过路径访问下载的敏感文件,如用户敏感信息文件,json文件、数据库文件、代码打包文件、svn或git等版本控制文件等。
2)存在用户名枚举(低风险)是指是否存在可以通过系统返回的错误提示进行猜测,从而枚举用户名。
3)Druid未授权访问(低风险)是指druid是阿里研发的一款数据库连接池,其开发语言为java,druid集合了c3p0、dbcp、proxool等连接池的优点,还加入了日志监控、session监控等数据监控功能,使用Druid能有效的监控DB池连接和SQL的执行情况。当配置不当时可被任意用户访问,获取其网站相关数据库信息、网站配置信息等。
针对初测出来的漏洞,天磊卫士安全团队及时协助客户对其进行了修复,经过后期的渗透测试复测,系统不存在中高危漏洞,系统定级为安全系统。

📍用户价值

● 明确安全隐患点
渗透测试是一个从空间到面再到点的过程,天磊卫士安全团队模拟的入侵,从外部整体切入终落至某个威胁点并加以利用,终对整个网络产生威胁,以此明确整体系统中的安全隐患点。
● 提高安全意识
如上所述,任何的隐患在渗透测试服务中都可能造成“千里之堤溃于蚁穴”的效果,因此渗透测试服务可有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险。
● 提高安全技能
在天磊卫士安全团队与用户的交互过程中,可提升用户的技能。另外,通过专业的渗透测试报告,也能为用户提供当前流行安全问题的参考。
● 渗透测试是脆弱性评估的一种补充
由于测试人员一般都具备丰富的安全经验和技能,所以其针对性比常见的脆弱性评估会更强、粒度也会更为细致。渗透测试的攻击路径及手段不同于常见的安全产品,所以它往往能暴露出一条甚至多条被人们所忽视的威胁路径,从而暴露整个系统或网络的威胁所在。

       所有信息系统的交付或上线前都应对其进行一次安全检查,查找系统潜在的安全隐患。网络安全投入可大可小,防微杜渐,避免重大安全事件的发生。

天磊卫士 渗透测试服务
天磊卫士渗透测试服务全面深入发现系统安全漏洞,保障系统和数据安全。
1服务对象
天磊卫士渗透测试除了针对信息系统进行检测,还包括安卓应用、IOS应用、网页应用、微信服务号、微信小程序和工控安全测试。

深圳网站/软件服务相关信息
23小时前
2天前
11月29日
11月29日
注册时间:2024年09月19日
UID:752021
---------- 认证信息 ----------
手机已认证
查看用户主页