临近HVV,渗透测试服务迫在眉睫~
4月份,英特尔、联想等多个厂商销售的服务器硬件曝出一个难以修复的远程可利用漏洞。该漏洞属于供应链漏洞,源自一个被多家服务器厂商整合到产品中的开源软件包——Lighttpd。
Lighttpd是一款开源Web服务器,以轻量级、快速且高效而闻名,非常适合高流量网站,同时消耗较少的系统资源。该漏洞存在于使用lighttpd版本1.4.35、1.4.45和1.4.51的任何服务器硬件中。
威胁分析师根据Lighttpd漏洞对不同供应商和设备的影响,为其分配了三个内部标识符:
- BRLY-2024-002:英特尔M70KLP系列固件版本01.04.0030(最新)中使用的Lighttpd版本1.4.45中存在特定漏洞,影响某些英特尔服务器型号。
- BRLY-2024-003:联想服务器型号HX3710、HX3710-F和HX2710-E中使用的LenovoBMC固件版本2.88.58(最新)内的Lighttpd版本1.4.35中存在特定漏洞。
- BRLY-2024-004:LighttpdWeb服务器版本1.4.51之前的一般漏洞,允许从服务器的进程内存读取敏感数据。
为了保障企业的安全发展,同时临近HVV期间,各企业安全负责人应时刻关注行业的漏洞发布,在必要时刻应该邀请专业的团队对重要业务系统进行渗透测试,将注入勒索病毒之类的风险杜绝“门外”。同时,企业还需要不断提高自身的安全意识和能力,以应对不断变化的攻击手段和环境。
✦
承制科技渗透测试服务
✦
承制技术服务部在获取客户书面授权委托同意后实施操作,由专业渗透测试工程师采用完全模拟入侵者可能使用的攻击技术和漏洞发现技术,利用专家经验对网络中常用的应用系统等进行非破坏性质的模拟攻击,发现系统最脆弱的环节,并将测试的过程和细节形成书面报告。
渗透测试服务内容 承制科技
Web渗透测试服务
Web渗透测试服务围绕系统层、应用层、网络层等技术层面开展,通过模拟黑客使用的工具、分析方法,针对不同层面的安全漏洞及威胁进行模拟攻击,先于黑客攻击之前发现安全隐患,并根据不同的漏洞提出相应的修补建议。
客户端渗透测试服务
客户端渗透测试通过真实模拟⿊客使⽤的攻击⽅式,对客户端的组件、网络交互、接口等进行黑盒和白盒角度全面的测试,找出客户端存在的脆弱性,并提供安全修复建议。
物联网渗透测试服务
主要参照开放网络应用程序安全计划(OWASP)发布的物联网十大安全漏洞及其他新兴行业标准对物联网设备进行渗透测试。包括密码、网络服务和协议、访问接口、安全更新机制、隐私保护、敏感的数据传输和存储等方面。
APP安全性检测服务
针对业务系统相关的APP做全面的安全性检测。包括静态检测、动态检测和个人隐私权限检测。
渗透测试人才培养
采取知识讲解与实际操作演练相结合的方式进行攻防技术培训,可以帮助企业提升安全团队的攻防技术能力,并通过CISP-PTE/PTS认证考试,培养高素质的攻防实战型人才。
渗透测试服务价值 承制科技
- 通过对目标业务系统开展渗透测试,及时发现目标资产的安全漏洞,将风险扼杀于萌芽,为客户保驾护航。
- 通过对物联网设备开展安全检测,发现目标物联网设备的安全隐患与漏洞,并根据相应的建议和补救措施进行提升,降低安全漏洞风险,规避各类损失。
- 全面掌握移动APP各类风险,提升移动APP多层面的安全性,使产品符合国家以及行业监管要求,同时也可以提升开发人员和测试人员安全意识。
- 通过攻防技术培训,提升企业安全团队的攻防技术能力,建立高素质的实战团队。
- 承制科技践行以生态为基础,以客户为中心,以价值为导向的管理理念,在创新和协同的基础上可以提供优质的服务并降低客户的成本,提供超出客户预期的价值。
承制服务特色 渗透测试服务
- 定制化服务。承制科技会针对客户不同的需求制定不同的服务内容,即便是一个很小的订单,承制科技也会由专业团队定制完善的服务。
- 服务响应快。承制科技团队服务速度快,人员效率高且技术专业,随时可应对客户的“急需求”。
- 客户满意度高。截止目前承制科技已经服务多家企业,包括但不限于汽车制造业、乳制品业、电商等众多行业,所有客户均对整体服务非常满意。
