SINESAFE滲透測(cè)試是對(duì)網(wǎng)站和服務(wù)器的安全測(cè)試，通過模擬攻擊的手法，切近實(shí)戰(zhàn)，提前檢查網(wǎng)站的漏洞，然后進(jìn)行評(píng)估形成安全報(bào)告。這種安全測(cè)試也被成為黑箱測(cè)試，類似于的“實(shí)戰(zhàn)演習(xí)”，即沒有網(wǎng)站代碼和服務(wù)器權(quán)限的情況下，從公開訪問的外部進(jìn)行安全滲透。 我們擁有國(guó)內(nèi)的滲透安全團(tuán)隊(duì)，從業(yè)信息安全十年，有著未公開的漏洞信息庫，大型社工庫，透過滲透測(cè)試找到網(wǎng)站和服務(wù)器的漏洞所在，從而確保網(wǎng)站的安全、服務(wù)器安全的穩(wěn)定運(yùn)行。
服務(wù)
滲透測(cè)試有時(shí)是作為外部審查的一部分而進(jìn)行的。這種測(cè)試需要探查系統(tǒng)，以發(fā)現(xiàn)操作系統(tǒng)和任何網(wǎng)絡(luò)服務(wù)，并檢查這些網(wǎng)絡(luò)服務(wù)有無漏洞。你可以用漏洞掃描器完成這些任務(wù)，但往往人士用的是不同的工具，而且他們比較熟悉這類替代性工具。
滲透測(cè)試的作用一方面在于，解釋所用工具在探查過程中所得到的結(jié)果。只要手頭有漏洞掃描器，誰都可以利用這種工具探查防火墻或者是網(wǎng)絡(luò)的某些部分。但很少有人能全面地了解漏洞掃描器得到的結(jié)果，更別提另外進(jìn)行測(cè)試，并證實(shí)漏洞掃描器所得報(bào)告的準(zhǔn)確性了。
打一個(gè)比方來解釋滲透測(cè)試的必要性。假設(shè)你要修建一座金庫，并且你按照建設(shè)規(guī)范將金庫建好了。此時(shí)是否就可以將金庫立即投入使用呢？肯定不是！因?yàn)檫€不清楚整個(gè)金庫系統(tǒng)的安全性如何，是否能夠確保存放在金庫的貴重東西萬無一失。那么此時(shí)該如何做？可以請(qǐng)一些行業(yè)中安全方面的對(duì)這個(gè)金庫進(jìn)行全面檢測(cè)和評(píng)估，比如檢查金庫門是否容易被破壞，檢查金庫的報(bào)警系統(tǒng)是否在異常出現(xiàn)的時(shí)候及時(shí)報(bào)警，檢查所有的門、窗、通道等重點(diǎn)易突破的部位是否牢不可破，檢查金庫的管理安全制度、視頻安防系統(tǒng)、出控制等等。甚至?xí)?qǐng)專人模擬入侵金庫，驗(yàn)證金庫的實(shí)際安全性，期望發(fā)現(xiàn)存在的問題。 這個(gè)過程就好比是對(duì)金庫的滲透測(cè)試。這里金庫就像是我們的信息系統(tǒng)，各種測(cè)試、檢查、模擬入侵就是滲透測(cè)試。

此外，你還要提供合適的測(cè)試途徑。如果你想測(cè)試在非軍事區(qū)（DMZ）里面的系統(tǒng)，好的測(cè)試地方就是在同一個(gè)網(wǎng)段內(nèi)測(cè)試。讓滲透測(cè)試人員在防火墻外面進(jìn)行測(cè)試聽起來似乎更實(shí)際，但內(nèi)部測(cè)試可以大大提高發(fā)現(xiàn)防火墻原本隱藏的服務(wù)器安全漏洞的可能性。因?yàn)?，一旦防火墻設(shè)置出現(xiàn)變動(dòng)，就有可能暴露這些漏洞，或者有人可能通過漏洞，利用一臺(tái)DMZ服務(wù)器攻擊其它服務(wù)器。還記得尼姆達(dá)病毒嗎？它就是攻擊得逞后、利用一臺(tái)Web服務(wù)器發(fā)動(dòng)其它攻擊的。

WAF的界定WAF(網(wǎng)站web運(yùn)用服務(wù)器防火墻)是根據(jù)實(shí)行一系列對(duì)于HTTP/HTTPS的安全策略來為Web運(yùn)用保護(hù)的一款安全防護(hù)產(chǎn)品。通俗化而言就是說WAF產(chǎn)品里融合了一定的檢測(cè)標(biāo)準(zhǔn)，會(huì)對(duì)每一請(qǐng)求的內(nèi)容依據(jù)轉(zhuǎn)化成的標(biāo)準(zhǔn)開展檢測(cè)并對(duì)不符安全標(biāo)準(zhǔn)的做出相匹配的防御解決，進(jìn)而確保Web運(yùn)用的安全性與合理合法。

攻擊，通常情況下是用來攻擊某腳本頁面的，攻擊的工作原理就是攻擊者操縱一些主機(jī)不斷地發(fā)大量的數(shù)據(jù)包給對(duì)方服務(wù)器導(dǎo)致網(wǎng)絡(luò)帶寬資源用盡，一直到宕機(jī)沒有響應(yīng)。簡(jiǎn)單的來說攻擊就是模擬很多個(gè)用戶不斷地進(jìn)行瀏覽那些需要大量的數(shù)據(jù)操作的腳本頁面，也就是不斷的去消耗服務(wù)器的CPU使用率，使服務(wù)器始終都有解決不完的連接一直到網(wǎng)站堵塞，無常訪問網(wǎng)站。
普通的測(cè)試服務(wù)和漏洞掃描工具只能發(fā)現(xiàn)常規(guī)性的漏洞，而對(duì)于系統(tǒng)深層次的漏洞和業(yè)務(wù)邏輯漏洞一般掃描器是無法探測(cè)到的，因此需要選擇人工安全滲透測(cè)試服務(wù)來對(duì)業(yè)務(wù)系統(tǒng)做更深層次、更全面的安全檢查。
http://www.cxftmy.com