天翼云渗透测试有哪些优势?

• 业内领先的咨询顾问团队
  参考国际和国家规范，对系统进行科学有效的风险评估，顾问团队拥有CISP、CISSP、ISO27001、 Security+等专业资质和多年丰富的项目经验。
  

• 运营商级别的实践能力
  技术顾问具备多年的信息系统安全评估和保障服务经验，具有丰富的网络和系统整改项目经验。
  通过科学、标准的服务流程，以及完善的项目管理和质量保障机制，提供全面可靠的安全服务。
  

云渗透测试有哪些规格?

不同企业建议根据实际情况分成三种规格：

• 小型应用系统，最多1个应用系统；
  

• 中型应用系统，最多5个应用系统；
  

• 大型应用系统，最多20个应用系统。
  

其他规格需要根据实际情况协商确定。

天翼云安全渗透测试服务是否存在安全风险?

由于渗透测试中所使用的自动化扫描工具的部分功能选项是采用模拟攻击方法进行测试，以及客户具体系统架构等因素，在扫描的过程中可能会对系统造成一定的影晌引入不确定的系统停机、服务停止风险。具体风险会在评估前确定并制定应急预案。

天翼云安全渗透测试服务内容包括哪些?

• 身份认证测试
  检査是否满足安全设计要求中的身份认证要求，检查是否存在密码被破解、登录被回放、登录被绕过的缺陷，确保登录验证安全有效。
  

• 授权管理测试
  检查页面是否满足安全设计要求中的访问控制要求，检查用户在未授权的情况下是否成功办理需要授权的业务。
  检查是否存在跨站请求伪造、路径遍历、授权绕过、会话重放等。
  

• 数据验证测试
  检查是否满足安全设计要求中输入验证的要求，确保应用系统正常显示业务办理信息。
  检查是否存在SQL注入、跨站脚本攻击、 XPATH注入、SSI注入、命令注入、
  缓冲区溢出、上传文件验证、未经验证的URL重定向。
  

• 可用性测试
  检查系统是否存在帐号锁定设计缺陷及应用拒绝服务缺陷。
  

• 配置管理测试
  检查存在中间件配置缺陷导致的应用系统漏洞。
  检查是否存在SSL漏洞、敏感信息泄露、默认文件和目录、基础结构配置管理、非必要文件检索、HTTP请求方法滥用、目录索引
  

• 后门测试
  检查应用系统各页面是否存在后门程序。
  

天翼云安全渗透测试服务各阶段时间安排?

• 客户确认阶段：第1周，预计一周时间供双方协商测试方案；
  

• 进行测试阶段：第2-3周，预计两周时间；
  

• 整改复测阶段：提交测试报告后1个月内客户可以提交复测申请，复测在1周内完成；
  

• 质保服务阶段：从报告交付日开始，为期12个月；
  

天翼云安全渗透测试服务网络要求？

应用系统网络与扫描器网络可达即可提供渗透测试。Internet默认可达，内网地址需部署扫描器在内网即可。

天翼云安全渗透测试服务流程是怎样的?

渗透测试是不是相当于入侵系统？

渗透测试和黑客入侵最大区别在于渗透测试是经过客户授权，采用可控制、非破坏性的方法和手段发现目标和网络设备中的弱点，帮助管理者知道自己网络所面临的问题。

是否会对业务系统的运行产生影响？

在时间安排上，我们会将测试时间安排在非高峰期，不会对业务系统的连续性产生影响。

天翼云渗透测试支持对哪些系统测试？

天翼云渗透测试服务基于传统的B/S结构，暂不支持对APP类的应用渗透测试。

渗透测试如何识别一个应用系统？

以一个三级域名作为一个应用系统的唯一标识，多个三级域名将被视为多个应用系统。

如www.ctyun.cn为一个应用系统，www.ctyun.cn/+路径也为同一个应用系统；反之不同三级域名为不同的应用系统，如www.ctyun.cn与desk.ctyun.cn为2个不同的应用系统。

渗透测试中会使用哪些工具？

测试使用安全工具包含但不限于：绿盟wvss，Nessus，Awvs，Nmap，SQLmap， Kali-linux，Burpsuite等，包含强大的SQL注入，跨站脚本，敏感信息泄露，目录列表等漏洞的检测插件，通过网络爬虫获取网站的基本目录结构，通过强大的漏洞插件来测试网站安全性能。

渗透测试是否只针对天翼云的租户，异网客户是否可以购买开通？

云上租户，异网客户均可购买使用，前提条件需要有天翼云账号，能正常购买渗透测试产品，且保证需要测试的域名公网可访问。