天翼云滲透測試有哪些優勢?

• 業內領先的咨詢顧問團隊
  參考國際和國家規范，對系統進行科學有效的風險評估，顧問團隊擁有CISP、CISSP、ISO27001、 Security+等專業資質和多年豐富的項目經驗。

• 運營商級別的實踐能力
  技術顧問具備多年的信息系統安全評估和保障服務經驗，具有豐富的網絡和系統整改項目經驗。
  通過科學、標準的服務流程，以及完善的項目管理和質量保障機制，提供全面可靠的安全服務。

天翼云滲透測試有哪些規格?

不同企業建議根據實際情況分成三種規格：

• 小型應用系統，最多1個應用系統。

• 中型應用系統，最多5個應用系統。

• 大型應用系統，最多10個應用系統。

其他規格需要根據實際情況協商確定。

天翼云滲透測試服務內容包括哪些?

• 身份認證測試
  檢査是否滿足安全設計要求中的身份認證要求，檢查是否存在密碼被破解、登錄被回放、登錄被繞過的缺陷，確保登錄驗證安全有效。

• 授權管理測試
  檢查頁面是否滿足安全設計要求中的訪問控制要求，檢查用戶在未授權的情況下是否成功辦理需要授權的業務。
  檢查是否存在跨站請求偽造、路徑遍歷、授權繞過、會話重放等。

• 數據驗證測試
  檢查是否滿足安全設計要求中輸入驗證的要求，確保應用系統正常顯示業務辦理信息。
  檢查是否存在SQL注入、跨站腳本攻擊、 XPATH注入、SSI注入、命令注入、緩沖區溢出、上傳文件驗證、未經驗證的URL重定向。

• 可用性測試
  檢查系統是否存在帳號鎖定設計缺陷及應用拒絕服務缺陷。

• 配置管理測試
  檢查存在中間件配置缺陷導致的應用系統漏洞。
  檢查是否存在SSL漏洞、敏感信息泄露、默認文件和目錄、基礎結構配置管理、非必要文件檢索、HTTP請求方法濫用、目錄索引。

• 后門測試
  檢查應用系統各頁面是否存在后門程序。

天翼云安全滲透測試服務各階段時間安排?

• 客戶確認階段：第1周，預計一周時間供雙方協商測試方案。

• 進行測試階段：第2-3周，預計兩周時間。

• 整改復測階段：提交測試報告后1個月內客戶可以提交復測申請，復測在1周內完成。

• 質保服務階段：從報告交付日開始，為期12個月。

天翼云安全滲透測試服務網絡要求？

應用系統網絡與掃描器網絡可達即可提供滲透測試。Internet默認可達，內網地址需部署掃描器在內網即可。

天翼云安全滲透測試服務流程是怎樣的?

滲透測試是不是相當于入侵系統？

滲透測試和黑客入侵最大區別在于滲透測試是經過客戶授權，采用可控制、非破壞性的方法和手段發現目標和網絡設備中的弱點，幫助管理者知道自己網絡所面臨的問題。

滲透測試是一種對抗性和定制化要求都非常高的一類安全測試，安全工程師在書面授權后盡可能完整的模擬黑客可能使用的漏洞發現技術與攻擊技術（與黑客攻擊相比其結果是可預知性的），對目標網絡、主機、數據庫與應用系統的安全性做深入的探測，發現系統薄弱環節的過程。能夠直觀的讓管理人員知道當前網絡、主機、數據庫與應用系統存在的安全弱點以及可能造成的影響，以便采取必要的防范措施。

滲透測試是否會對業務系統的運行產生影響？

滲透測試是模擬黑客攻擊，對目標系統進行安全探測，以發現系統最脆弱的環節。在實施滲透測試時，可能會對業務系統的正常運行產生一定的影響。

具體影響的大小取決于滲透測試的具體實施方式和實施范圍。如果滲透測試的范圍較小，只針對部分系統或特定服務進行測試，對業務系統整體運行的影響可能較小。但如果滲透測試的范圍較大，涉及到整個業務系統或關鍵業務組件，就可能對系統的正常運行產生較大的影響。

另外，滲透測試的時機也會影響其對業務系統運行的影響。如果選擇在業務系統的非高峰期進行測試，可以最大程度地減少對業務系統正常運行的影響。但如果測試時間安排在業務高峰期，就可能對業務系統的正常運行產生較大的影響。

因此，在進行滲透測試時，需要綜合考慮測試范圍、實施方式、時機等多個因素，以盡可能地減少對業務系統正常運行的影響。同時，為了確保滲透測試的準確性和有效性，還需要選擇專業的滲透測試團隊或機構進行測試。

天翼云滲透測試服務在開始服務前，會為您提供詳細滲透測試方案，在時間安排上，我們會將測試時間安排在非高峰期，不會對業務系統的連續性產生影響。

天翼云滲透測試支持對哪些系統測試？

天翼云滲透測試服務通過真實模擬攻擊使用的工具、分析方法來對業務系統進行深度漏洞挖掘，利用系統漏洞獲取權限從而獲取敏感數據的測試，由測試人員進行深入的手工測試和分析，識別工具無法發現的問題。

主要分析測試內容包括但不限于邏輯缺陷、上傳繞過、輸入輸出校驗繞過、數據篡改、功能繞過、異常錯誤等以及其他專項內容測試與分析。

測試范圍：Web系統、移動應用APP、公眾號、小程序等。

滲透測試如何識別一個應用系統？

以一個三級域名作為一個應用系統的唯一標識，多個三級域名將被視為多個應用系統。

如www.daliqc.cn為一個應用系統，www.daliqc.cn/+路徑也為同一個應用系統；反之不同三級域名為不同的應用系統，如www.daliqc.cn與desk.daliqc.cn為2個不同的應用系統。

滲透測試是否只針對天翼云的租戶，異網客戶是否可以購買開通？

云上租戶，異網客戶均可購買使用，前提條件需要有天翼云賬號，能正常購買滲透測試產品，且保證需要測試的域名公網可訪問。

服務開始前，您需要提供滲透測試授權函，我們會為您提供詳細的滲透測試方案，確定服務細節及測試范圍，得到您的授權后，開展滲透測試服務，并提供滲透測試報告。