来自漏洞的警示，企业需重视渗透测试

近期，GitLab发布警告称GitLab社区版（CE）和企业版（EE）中发现一个严重的账户接管漏洞，攻击者可以任何其他用户的身份运行管道任务。GitLab同时发布了GitLab Community and Enterprise版本17.1.2、17.0.4和16.11.6以修补该漏洞，并建议所有管理员立即升级所有安装。

GitLab近期发布的安全更新中修补的漏洞编号为CVE-2024-6385，CVSS严重性评分高达9.6分（满分10分）。

该漏洞会影响从15.8到16.11.6、17.0到17.0.4和17.1到17.1.2的所有GitLabCE/EE版本，攻击者可以利用它来以任意用户的身份触发新的管道。

GitLab管道是一个持续集成/持续部署（CI/CD）系统功能，允许用户自动并行或顺序运行流程和任务，以开发、测试或部署代码更改。

为了保障企业的安全发展，各企业安全负责人应时刻关注行业的漏洞发布，在必要时刻应该邀请专业的团队对重要业务系统进行渗透测试，企业还需要不断提高自身的安全意识和能力，以应对不断变化的攻击手段和环境。

✦

承制科技渗透测试服务

✦

承制技术服务部在获取客户书面授权委托同意后实施操作，由专业渗透测试工程师采用完全模拟入侵者可能使用的攻击技术和漏洞发现技术，利用专家经验对网络中常用的应用系统等进行非破坏性质的模拟攻击，发现系统最脆弱的环节，并将测试的过程和细节形成书面报告。

渗透测试服务内容    

Web渗透测试服务

Web渗透测试服务围绕系统层、应用层、网络层等技术层面开展，通过模拟黑客使用的工具、分析方法，针对不同层面的安全漏洞及威胁进行模拟攻击，先于黑客攻击之前发现安全隐患，并根据不同的漏洞提出相应的修补建议。

客户端渗透测试服务

客户端渗透测试通过真实模拟⿊客使⽤的攻击⽅式，对客户端的组件、网络交互、接口等进行黑盒和白盒角度全面的测试，找出客户端存在的脆弱性，并提供安全修复建议。

物联网渗透测试服务

主要参照开放网络应用程序安全计划（OWASP）发布的物联网十大安全漏洞及其他新兴行业标准对物联网设备进行渗透测试。包括密码、网络服务和协议、访问接口、安全更新机制、隐私保护、敏感的数据传输和存储等方面。

APP安全性检测服务

针对业务系统相关的APP做全面的安全性检测。包括静态检测、动态检测和个人隐私权限检测。

渗透测试人才培养

采取知识讲解与实际操作演练相结合的方式进行攻防技术培训，可以帮助企业提升安全团队的攻防技术能力，并通过CISP-PTE/PTS认证考试，培养高素质的攻防实战型人才。

渗透测试服务流程    

确认渗透测试对象

通过对测试范围进行分析，制定有针对性的攻击计划。

制定测试方案

对不同场景下的安全需求，客户的要求限制，制定渗透测试方案。

渗透测试

对渗透测试允许范围内的信息系统，采用渗透测试专业的工具+手工测试的方式对信息系统进行渗透测试。

输出报告

输出专业的渗透测试报告，内容包括测试漏洞，风险等级，漏洞详情及修复建议。

复测

再次进行渗透测试，对之前漏洞进行复测，提交复测报告。

渗透测试服务价值    

• 通过对目标业务系统开展渗透测试，及时发现目标资产的安全漏洞，将风险扼杀于萌芽，为客户保驾护航。
• 通过对物联网设备开展安全检测，发现目标物联网设备的安全隐患与漏洞，并根据相应的建议和补救措施进行提升，降低安全漏洞风险，规避各类损失。
• 全面掌握移动APP各类风险，提升移动APP多层面的安全性，使产品符合国家以及行业监管要求，同时也可以提升开发人员和测试人员安全意识。
• 通过攻防技术培训，提升企业安全团队的攻防技术能力，建立高素质的实战团队。
• 承制科技践行以生态为基础，以客户为中心，以价值为导向的管理理念，在创新和协同的基础上可以提供优质的服务并降低客户的成本，提供超出客户预期的价值。

承制服务特色    

• 定制化服务。承制科技会针对客户不同的需求制定不同的服务内容，即便是一个很小的订单，承制科技也会由专业团队定制完善的服务。
• 服务响应快。承制科技团队服务速度快，人员效率高且技术专业，随时可应对客户的“急需求”。
• 客户满意度高。截止目前承制科技已经服务多家企业，包括但不限于汽车制造业、乳制品业、电商等众多行业，所有客户均对整体服务非常满意。