客户广播以及微博在正式上线之前，都会找专业的安全公司进行渗透测试，检测电视、小程序是否存在漏洞，以及一些安全隐患，大多数的运营者觉得安装一些安全防护软件就足以防止攻击了，越这样，广播官方网站越容易受到篡改数据，以及攻击等情况时而发生，近几年ai的快速发展，APP应用，杂志也越来越多，受到的攻击成几何的增长，有很多客户找到我们SINE安全来进行渗透测试服务，那如何通过渗透测试解决杂志官网现有的攻击问题呢，首先我们要了解，什么是渗透测试？

渗透测试是对广告、APP应用（iphone,macos）进行全面的安全检测与漏洞扫描，模拟攻击者的手法，切近实战，人工检查媒体小程序存在的漏洞，最后评估生成安全报告，简单来概括也叫黑箱测试，在没有客户提供的杂志源代码以及服务器管理员权限的情况下，从普通的用户访问对互联网进行测试。我们SINE安全在对客户电台、微博进行渗透测试之前，都需要获取客户的安全授权，再一个确认客户的互联网是否是客户的，验证所有权，再授权我们进行安全渗透，安全授权相当于甲方公司同意对乙方对旗下的网站域名，以及视频进行远程的黑箱，白箱的渗透测试，双方公司盖章，家具签或快递签，开始安全服务。

渗透测试的范围与服务内容都有哪些？

分多个层面进行，互联网方面，公众号方面，我们从广播来说，大体渗透的范围，对电台的漏洞进行检测，包括SQL注入漏洞，get,post,cookies注入漏洞，延迟注入检测，盲注检测，XSS跨站漏洞检测，分反射XSS,持续性XSS，存储性XSS检测，CSRF漏洞，逻辑漏洞，垂直，平行越权漏洞，文件上传截断绕过漏洞,目录遍历漏洞，URL地址跳转漏洞，代码远程执行漏洞，数据库漏洞，账号弱密码漏洞扫描，任意文件下载漏洞，API接口漏洞检测。

网络渗透测试方面包含反编译安全测试，公众号脱壳漏洞，官方网站二次打包植入后门漏洞，微博进程安全检测，官网appi接口的漏洞检测，任意账户注册漏洞，短信验证码盗刷，签名效验漏洞，微博加密/签名破解，公众号逆向，SO代码函数漏洞，python层动态调试漏洞，代码注入，HOOK攻击检测，键盘DUMP漏洞，sha256解密测试，反调试漏洞，还有视频功能上逻辑漏洞，越权漏洞，平行垂直，获取任意账户的信息，弱口令漏洞，暴力破解漏洞，ruby漏洞检查，敏感信息泄露等等。

根据SINE安全团队十年的渗透测试经验得出，在对客户广播进行测试前，收集客户电视信息以及资料，整理的越多越好，有利于更深入的了解客户，只有真正的了解了自己，才能知彼知己百战不殆，通过收集的资料，人工+软件和辅助的对漏洞进行检测，通过发现出来的漏洞以及测试经验进行更进一步的漏洞深挖。最后对渗透测试出的漏洞，以及漏洞修复方案，安全方面建议，整理成详细的安全部署报告，交由甲方公司，对整体的渗透测试内容进行描述，检测出来的漏洞分本科低，漏洞名称，漏洞详情，漏洞利用，以及如何才能修复好漏洞，都会在报告中详细的写出，这样才是完整的渗透测试服务，找出漏洞所在，解决客户的后顾之忧。

标签：[db:tags]