1.安全測試

滲透測試

滲透測試是取得了用戶的授權的行為，而黑客的攻擊是沒有授權的。

完成滲透測試后，需要向用戶提交測試結果的報告，黑客在攻擊完成之后，會銷毀攻擊的痕跡。

2.滲透測試 VS 安全測試

區別：

滲透測試著重點在攻擊，滲透測試的目的是攻破軟件系統，以證明軟件系統存在問題。

安全測試的著重點在防御，對整個系統的防御的功能進行一個系統的考慮。

滲透測試的目的是攻破系統，所以只要選擇一些薄弱的環節，選擇一些點來攻擊系統，達到攻破系統的目的就可以了。

安全測試必須從整個的防御面上來考慮系統的安全性。

從難易程度上來說，因為安全測試要考慮的更多，所需要掌握的知識也更多，所以也更加地困難一些。

3.OWASP

Open Web Application Security Project：開放的web應用安全項目。這是針對web應用的最著名的一個安全項目。

OWASP Top 10：每隔幾年，OWASP會發布行業上最具有威脅的十大安全漏洞，并且對其進行詳細的說明分析。

OWASP2013 Top10：

注入漏洞，一般指SQL注入、腳本注入這樣的漏洞。一般是攻擊者通過頁面的輸入來進行巧妙的構造，來達到使系統執行不應該執行的SQL或腳本的功能，達到提高用戶權限，從而訪問不應該訪問的數據的目的。

失效的身份認證和會話管理。比如會話劫持這樣的漏洞，用戶訪問系統的時候，認證的憑據是外部可見的，易于被別人獲取的，從而造成用戶身份的暴露。

跨站腳本。攻擊者通過惡意的手段，構造使用戶的瀏覽器能夠執行動態的內容，達到攻擊的目的。

不安全的對象的直接引用。比如在URL中，包含了一些參數，比如ID=12345這樣的一些參數，如果把參數直接修改為54321可能就能直接的變更頁面訪問的對象，或者獲取其他用戶的數據。如果這方面的保護不足，就會造成這樣的漏洞。

安全配置錯誤。比如系統使用的框架、服務，很多框架服務都有默認的密碼，對于黑客來說，默認密碼都是已知的，如果這些東西不變更，訪問時就可以直接使用。比如系統開放了不必要的端口、服務，這樣的問題，都是安全配置類的錯誤。

敏感信息泄露：信息傳遞過程中，沒有對關鍵信息進行加密，有可能造成信息的泄露。

功能級別的訪問控制缺失：比如訪問一個網站，能夠在內部導航到一個用戶沒有權限到達的地方，這樣的漏洞就屬于訪問控制的缺失。

跨站請求偽造：網站存在漏洞，攻擊者通過外部的一個惡意的網站，在用戶訪問了一個正常網站的時候，再去訪問這個惡意網站，則正常網站的相關憑據可能就會被惡意網站上的代碼執行、獲取到。

使用了已知的具有漏洞的組件：業界會有非常多的安全漏洞暴露出來，如果這些已知的安全漏洞我的系統也使用了相關的技術，那這些漏洞沒有及時地更新，沒有及時地打補丁，那這些漏洞就是存在的。如果沒有及時地補救，容易造成系統被攻擊。

未被驗證的重定向和轉發：網站如果具有重定向的功能，如果對重定向過來的請求，不對它進行校驗，就很有可能被攻擊者構造重定向，來轉到一些釣魚網站。

OWASP Testing Guide：是指引安全測試人員如何實施安全測試的一個測試指南。

當然，OWASP上還有其他一些安全項目，比如開源的安全工具，還有開發的指南。

安全測試作為比較專業的一種測試類型，也有很多測試工具來提供測試支持。

4.安全測試工具：

Appscan：IBM的，針對web應用的漏洞掃描工具。

Webinspect：惠普的漏洞掃描工具，和Appscan功能上比較類似。

Nessus：非常著名的一款主要針對服務器主機類的漏洞檢查工具。有免費版本。

Nmap：非常著名的端口嗅探的工具。通過掃描主機來看看開放了哪些端口，可以進行下一步的攻擊。

MetaSploit：非常著名的攻擊框架，包含有大量的插件，可以對目標系統進行檢測，還有滲透測試。

WebScarab：OWASP開源項目提供的一項工具，是基于代理劫持的分析，來進行工具路徑的檢測，功能很強大。

Fortify：和Webinspct是同一個公司的產品，主要是一個白盒的測試工具，是針對開發的源代碼的靜態的分析，靜態分析出源碼中可能存在的問題。

W3AF： 開源的安全漏洞掃描工具，也是主要針對web應用的。

服務區域：廣東省、廣州(天河、蘿崗開發區、黃埔開發區、南沙新區、番禺、花都、從化、增城、越秀、白云）、珠海市、中山市、江門市、佛山市、惠州市、東莞市、深圳市、肇慶市、云浮市、茂名市、湛江市、清遠市、韶關市、梅州市、汕頭市、潮州市、河源市、揭陽市、陽江市

全國各省、市、自治區：廣東省、海南省、福建省、湖南省、四川省、重慶市、貴州省、云南省、廣西壯族自治區、湖北省、河南省、山東省、河北省、陜西省、山西省、浙江省、江蘇省、遼寧省、黑龍江省、吉林省、上海市、天津市、北京市、甘肅省、西藏自治區、安徽省、青海省、寧夏回族自治區、內蒙古自治區、新疆維吾爾族自治區

WX:一三三+++++四二捌伍++++++二伍一捌

主要業務為軟件產品測試、電子產品檢測、安防產品檢測、軟件第三方驗收測試、科技項目驗收測試、信息系統第三方檢測、集成電路檢測、芯片檢測、IC檢測、雷電防護裝置檢測（建筑防雷裝置檢測、防雷定期檢測、防雷首次檢測）、通信網防御雷電安全保護檢測、移動通信基站防雷檢測、地理信息系統軟件測試、數字社區應用軟件測評、 建設領域軟硬件測評、軟件安全性測試、軟件驗收項目（安全、性能、驗收測試、滲透測試、漏洞掃描、***檢查、代碼審計、代碼檢測）、廣東省安全技術防范系統設計、施工、維修資格備案證業績檢測（安防工程檢測）、信息化項目技術績效評估(網站或系統績效評估）、政務信息化項目效能評估、信息系統安全等級保護備案證明、信息系統安全等保報告、網絡安全等保測評、信息系統安全等保測評、數字新基建項目第三方測試(5G建設、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數據中心、人工能、工業互聯網)、廣東省守合同重企業、通用航空經營許可（即原來的：民用無人駕駛航空器經營許可、道路運輸經營許可、AOPA無人機多旋翼駕駛員培訓、無人機研發生產銷售、無人機合作辦學、無人機實訓室建設、信息系統建設和服務能力評估CS、信息系統服務交付能力評估CCID、計算機信息系統安全服務證、信息系統集成及服務資質、信息系統運維資質、音視頻系統集成資質、安防系統集成資質、音視頻集成工程企業能力等級證書、信息化能力評價、EDI/ICP安全防護檢測、廣東省安全技術防范系統設計、施工與維修證、廣東省有線廣播電視工程設計（安裝）證、廣東省防雷工程企業能力評價、軟件過程及能力成熟度評估CMMI、涉密信息系統集成資質、數據管理能力成熟度評估模型DCMM、信息技術服務運行維護標準ITSS、信息安全服務資質CCRC、科技成果評價、科技成果登記、科技成果登記合作（即掛名）、科學技術獎申請、專利合作申請（即掛名）、國家高新技術企業認證、雙軟認定、動漫企業認定、技術合同登記、知識產權服務、發明專利加急、集成電路布圖專有權登記、計算機軟件著作權登記、軟件檢測報告（軟件項目驗收鑒定報告）、工商注冊、代理記賬、創業補助申請等服務領域。VX;133-------4二捌五----2518

如有計劃辦的企業，可協助解決企業人員問題，可咨詢我們，v---x：133----四二捌五----2518