主要業務為軟件產品測試、電子產品檢測、安防產品檢測、軟件第三方驗收測試、科技項目驗收測試、信息系統第三方檢測、集成電路檢測、芯片檢測、IC檢測、雷電防護裝置檢測（建筑防雷裝置檢測、防雷定期檢測、防雷首次檢測）、通信網防御雷電安全保護檢測、移動通信基站防雷檢測、地理信息系統軟件測試、數字社區應用軟件測評、 建設領域軟硬件測評、軟件安全性測試、軟件驗收項目（安全、性能、驗收測試、滲透測試、漏洞掃描、***檢查、代碼審計、代碼檢測）、廣東省安全技術防范系統設計、施工、維修資格備案證業績檢測（安防工程檢測）、信息化項目技術績效評估(網站或系統績效評估）、政務信息化項目效能評估、信息系統安全等級保護備案證明、信息系統安全等保報告、網絡安全等保測評、信息系統安全等保測評、數字新基建項目第三方測試(5G建設、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數據中心、人工能、工業互聯網)、廣東省守合同重企業、通用航空經營許可（即原來的：民用無人駕駛航空器經營許可、道路運輸經營許可、AOPA無人機多旋翼駕駛員培訓、無人機研發生產銷售、無人機合作辦學、無人機實訓室建設、信息系統建設和服務能力評估CS、信息系統服務交付能力評估CCID、計算機信息系統安全服務證、信息系統集成及服務資質、信息系統運維資質、音視頻系統集成資質、安防系統集成資質、音視頻集成工程企業能力等級證書、信息化能力評價、EDI/ICP安全防護檢測、廣東省安全技術防范系統設計、施工與維修證、廣東省有線廣播電視工程設計（安裝）證、廣東省防雷工程企業能力評價、軟件過程及能力成熟度評估CMMI、涉密信息系統集成資質、數據管理能力成熟度評估模型DCMM、信息技術服務運行維護標準ITSS、信息安全服務資質CCRC、科技成果評價、科技成果登記、科技成果登記合作（即掛名）、科學技術獎申請、專利合作申請（即掛名）、國家高新技術企業認證、雙軟認定、動漫企業認定、技術合同登記、知識產權服務、發明專利加急、集成電路布圖專有權登記、計算機軟件著作權登記、軟件檢測報告（軟件項目驗收鑒定報告）、工商注冊、代理記賬、創業補助申請等服務領域。VX;133-------4二捌五----2518

如有計劃辦的企業，可協助解決企業人員問題，可咨詢我們，v---x：133----四二捌五----2518

服務區域：廣東省、廣州(天河、蘿崗開發區、黃埔開發區、南沙新區、番禺、花都、從化、增城、越秀、白云）、珠海市、中山市、江門市、佛山市、惠州市、東莞市、深圳市、肇慶市、云浮市、茂名市、湛江市、清遠市、韶關市、梅州市、汕頭市、潮州市、河源市、揭陽市、陽江市

全國各省、市、自治區：廣東省、海南省、福建省、湖南省、四川省、重慶市、貴州省、云南省、廣西壯族自治區、湖北省、河南省、山東省、河北省、陜西省、山西省、浙江省、江蘇省、遼寧省、黑龍江省、吉林省、上海市、天津市、北京市、甘肅省、西藏自治區、安徽省、青海省、寧夏回族自治區、內蒙古自治區、新疆維吾爾族自治區

WX:一三三+++++四二捌伍++++++二伍一捌

安全性測試主要是指利用安全性測試技術，在產品沒有正式發布前找到潛在漏洞。找到漏洞后，需要把這些漏洞進行修復，避免這些潛在的漏洞被***用戶發現并利用。像我們測試中找軟件產品bug一樣，安全漏洞也是很難完全避免的。黑客攻擊技術會層出不窮，而無論怎么樣，我們所做的web網站一定是需要對用戶提供一些服務，會開放一些端口，甚至給用戶提供一些輸入的界面，而這些方面都有可能成為漏洞的載體。還有一個主要原因是因為程序員在開發過程中很可能會埋下一個漏洞，或者人為的安全性漏洞，都是需要我們去避免的。

　　對于web系統來說，它是一個標準的網絡結構的系統，所以跟協議有關的漏洞我們需要去避免，其次它是通過瀏覽器為載體的，瀏覽器層面的漏洞我們需要去注意。一般是使用網頁與用戶進行交互，而網頁有很多操作可以通過JavaScript來進行的，我們很有可能直接繞開這個界面，直接給服務器發數據包。比如：目前商城測試中某文本框，只能輸入不大于20字，那么javascript在文本框的輸入數據字數進行限制，但是在服務器沒有進行限制，我們直接發多于20字的文本到服務端，服務端可以照單全收，這也是個問題。

　　具體來說，安全性測試主要包括以下幾個部分內容：

　　認證與授權

　　Session與Cookie

　　DDOS拒絕服務攻擊

　　文件上傳漏洞

　　XSS跨站攻擊

　　SQL注入

　　認證與授權

　　盡量避免未被授權的頁面可以直接訪問，應該對每個頁面都有一個session變量的判斷。如果沒有判斷只要用戶知道URL地址就能進行訪問。

　　測試方法：

　　在不登陸的情況下，使用絕對URL地址對頁面進行訪問，能否正常訪問，絕對URL地址直接通過httpwatch對每個請求進行獲取。

　　Session與Cookie

　　Http是一種無狀態性的協議，這種協議不要求瀏覽器在每次請求中標明他自己的身份，每次發個請求回個響應即可，那怎么校驗發請求的人的身份呢？這就催生了Cookies。

　　本質上Cookies就是http的一個擴展，有兩個http頭部是專門負責設置和發送cookies的(Set-Cookies，Cookies)當服務器返回給客戶端一個http相應的時候，其中如果包含Set-Cookies這個頭部，就意味著讓客戶端建立cookie，并且在后續的請求中自動發送這個cookies到服務器，一直到這個cookie過期。

　　Session，最簡單的針對session的攻擊就是跨站請求偽造。關鍵點是如何不讓攻擊者獲取到sessionid，然后偽裝成正常訪問者，但是從理論上來說這是不能絕對實現的，我們只能通過不同的手法增加攻擊者獲取sessionid的難度，有三種方法：

　　驗證請求頭中的數據，比如驗證User-Agent的變化；

　　增加token校驗；

　　利用get.post.cookie等不同的傳輸方式來傳遞sessionid和token等增加攻擊者獲取難度。

　　我們應避免保存敏感信息到cookie文件中，cookie的保存可以提高用戶的體驗。

　　作用域：不同應用系統不同作用域。

　　DDOS拒絕服務攻擊

　　分布式的拒絕服務式攻擊（攻擊服務器的電腦分布在不同地方，向服務器發送請求）的兩種方式：

　　1）使用肉機

　　通過設置木馬讓很多電腦受遠程控制，幫忙執行***程序，服務器防火墻無法通過封鎖IP的方式進行處理，唯一的解決辦法就是服務器夠強大。

　　2）形成攻擊聯盟

　　很多人聯合起來對同一個網站發起攻擊，對網站流量形成一定壓力，對同一網站造成傷害。

　　常規的防御方法：

　　1）確保服務器的系統文件是最新的版本，并及時更新系統補丁；

　　2）關閉不必要的服務；

　　3）限制同時打開的SYN半連接數目，縮短SYN半連接的time out 時間，限制SYN/ICMP流量；

　　4）正確設置防火墻；

　　5）認真檢查網絡設備和主機/服務器系統的日志，只要日志出現漏洞或是時間變更，那這臺機器就可能遭到了攻擊；

　　6）限制在防火墻外與網絡文件共享，這樣會給黑客截取系統文件的機會，主機的信息暴露給黑客，無疑是給了對方入侵的機會；

　　7）充分利用網絡設備保護網絡資源；

　　8）用足夠的機器承受黑客攻擊；

　　9）檢查訪問者的來源。

　　文件上傳漏洞

　　文件上傳漏洞，可以利用WEB上傳一些特定的文件。一般情況下文件上傳漏洞是指用戶上傳了一個可執行的腳本文件，并通過此腳本文件獲得了執行服務器端命令的能力。文件上傳本身是web中最為常見的一種功能需求，關鍵是文件上傳之后服務器端的處理、解釋文件的過程是否安全。

　　文件上傳漏洞產生原因主要是缺少必要的校驗。關于上傳測試點：

　　1. 上傳文件是否有格式限制，是否可以上傳exe文件。

　　2. 上傳文件是否有大小限制，上傳太大的文件是否導致異常錯誤，上傳0K的文件是否會導致異常錯誤，上傳并不存在的文件是否會導致異常錯誤。

　　3. 通過修改擴展名的方式是否可以繞過格式限制，是否可以通過壓包方式繞過格式限制。

　　4. 是否有上傳空間的限制，是否可以超過空間所限制的大小，如將超過空間的大文件拆分上傳是否會出現異常錯誤。

　　5. 上傳文件大小大于本地剩余空間大小，是否會出現異常錯誤。

　　6. 關于上傳是否成功的判斷。上傳過程中，中斷，程序是否判斷上傳是否成功。

　　7. 對于文件名中帶有中文字符，特殊字符等的文件上傳。

　　8. 上傳漏洞拿shell。

　　9. 直接上傳asp.asa.jsp.cer.php.aspx.htr.cdx….之類的，拿到shell。

　　10.在上傳時在后綴后面加空格或者加幾點，例：*.asp ,*.asp..。

　　11.利用雙重擴展名上傳例如：*.jpg.asa格式（也可以配上第二點一起利用）。

　　12.gif文件頭欺騙。

　　13.同名重復上傳。

　　XSS跨站攻擊

　　跨站腳本攻擊(Cross Site Script，簡稱為XSS)指的是惡意攻擊者往Web頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執行，從而達到惡意用戶的特殊目的。比如：某個頁面上有個廣告，網址是xxxx.taobao.com，你點擊進去，發現是淘寶的購物網站，然后進行購買，其實他會重定向到另一個攻擊者自己的網站，在購買的時候，使用的是攻擊者的接口進行付款，很可能就會被盜取個人信息及財產等。

　　對于跨站漏洞，我們主要看代碼里對用戶輸入的地方和變量有沒有做長度和對”<”,”>”,”;”,”’”等字符是否做過濾，還有要注意的是對于標簽的閉合等，完善的輸入檢查是預防XSS的重要措施。

　　SQL注入

　　SQL注入是一種安全漏洞。攻擊者之所以可以利用自己輸入的數據來達到攻擊網站的目的，原因就在于SQL語言作為一種解釋型語言，它的數據其實是由程序員編寫的代碼和用戶提交的數據共同組成的。正是這個原因，攻擊者可以構造對自己有利的數據，利用網站的一些SQL漏洞來達到惡意的目的。

　　SQL注入，就是指攻擊者將惡意的字符串或者語句等信息作為參數輸入，服務器在驗證這個字段的時候，讀取攻擊者輸入的數據，將其作為正常的值參與SQL語句的查詢，如果攻擊者輸入了一個字符串，在SQL語句執行之后，可以導致刪除表等操作，對于一個應用來說，影響是很大的。

　　SQL注入一般會出現的地方：

　　含有輸入數據表單的頁面（登錄界面、查詢界面、反饋界面等），即使是hidden的表單也有可能存在這個問題。

　　含有用戶信息、ID等的URL，可以操作ID后的參數數據。

　　SQL注入的方法措施：

　　從測試人員角度來說，在需求階段時，我們就應該有意識的將安全性檢查應用到需求測試。例如對一個表單需求進行檢查時，我們一般檢驗以下幾項安全性問題：需求中應說明表單中某一field的類型、長度以及取值范圍（主要作用就是禁止輸入敏感字符）。需求中應說明如果超出表單規定的類型、長度以及取值范圍的，應用程序應給出不包含任何代碼或數據庫信息的錯誤提示等。