短视频,自媒体,为人们种草提供一站式服务
渗透测试服务是指乙方安全公司对自己的网站、应用和办公系统进行全面的人工安全渗透,并对漏洞进行检测和测试,包括sql注入漏洞、xss存储漏洞、反射漏洞、逻辑漏洞和越权漏洞。在进行渗透测试之前,我们sine安全公司需要得到甲方的授权,未经授权的渗透和网站漏洞测试在法律上是违法的,非法渗透带来的一切责任和后果。前段时间我们sine安全公司接到了甲方公司的渗透测试订单,对公司使用的oa办公系统进行了全面的安全测试和漏洞测试。鉴于前期所做的一些准备和测试内容,我们将与您详细分享渗透测试过程。
很多中小企业都有自己的oa办公系统。为了员工的办公、审批流程和工作简化,oa系统发挥了重要作用,扭曲了整个公司,大大降低了公司的运营成本、沟通时间成本,促进了员工工作效率的提高。在使用过程中,也带来了很多安全隐患。在对oa办公系统进行渗透测试服务时,应从以下几个方面进行安全测试:
在进行渗透测试之前,我们首先要了解客户的内部网络中使用了哪些办公系统,是由第三方公司开发的,还是由我们自己的工程师独立开发的。如果是自己开发的,漏洞很容易被测试。相对来说,没有那么多第三方公司开发的漏洞,需要花费时间和精力进行详细的测试才能发现。一般来说,公司使用的邮件系统有qq公司邮件、gmial邮件、163邮件、微软exchange邮件。
oa办公系统、用友、致远oa系统都存在远程代码执行漏洞。客户使用的致远oa和目前大多数企业使用的一套oa系统。我们来看看这个漏洞:通过远程代码执行,可以直接调用cmd命令,查看当前网站服务器,以管理员权限执行命令,这是有害的。可以直接获取服务器的管理权限,查询修改oa系统的数据,可能会导致泄露。
公司的企业oa办公系统以网站为主。人才体系、权限体系、部门管理背景、业务流程管理、crm、绩效考核、订单体系、售后体系都是建立在网站的基础上,网站也是对外开放的。任何员工,任何地方,出差,用手机,都可以随时工作。在方便的同时,安全性也面临着严峻的考验。通过对我们的sine安全技术在整个办公系统上的渗透测试,发现有太多的漏洞,比如xss存储漏洞和未经授权的漏洞。我们在流程管理和方案提交功能中发现了一个重要的未授权漏洞。代码如下:
可以超越权限直接控制方案,可以审批取消方案,可以查看别人提交的方案,这些都是超越权限的,正常操作下是不允许的。还有一个未授权访问的漏洞。您可以看到许多管理员权限下的内容如下:
甲方公司使用的vpn是思科的。当vpn账户密码被暴力破解时,部分账户存在弱密码,直接被猜到。建议甲方公司加强密码保护,使密码强度达到10位以上,数字和字母组合增加小写。以上是对客户oa系统的渗透测试,一般是以上几个方面的安全渗透,包括oa系统和邮件系统。如果对自己网站和系统的安全性没有把握,建议找专业的安全公司做渗透测试服务。国产sine安全有说服力。绿联是知名的安保公司。检查网站是否有漏洞和安全隐患。不要等业务发展壮大了再考虑渗透测试。如果以后出现漏洞,损失无法估量。网站上线前要提前做渗透测试服务,发现漏洞,提前修复。