參考周期：常規(guī)試驗(yàn)7-15工作日，加急試驗(yàn)5個(gè)工作日。

注意：因業(yè)務(wù)調(diào)整,暫不接受個(gè)人委托測(cè)試,望諒解(高校、研究所等性質(zhì)的個(gè)人除外)。

檢測(cè)項(xiàng)目

1.身份認(rèn)證漏洞檢測(cè)：弱口令掃描（長度≤8位/復(fù)雜度不足）、雙因素認(rèn)證缺失驗(yàn)證

2.權(quán)限配置錯(cuò)誤分析：ACL規(guī)則沖突檢查（IP/MAC白名單覆蓋率≥95%）、RBAC模型層級(jí)驗(yàn)證

3.會(huì)話管理缺陷測(cè)試：Cookie安全屬性（HttpOnly/Secure標(biāo)記缺失）、JWT令牌時(shí)效性（有效期＞30分鐘）

4.API接口越權(quán)探測(cè)：水平越權(quán)（UID參數(shù)篡改測(cè)試）、垂直越權(quán)（角色權(quán)限提升驗(yàn)證）

5.日志審計(jì)完整性核查：訪問日志留存周期（≥180天）、異常登錄行為識(shí)別率（誤報(bào)率＜5%）

檢測(cè)范圍

1.網(wǎng)絡(luò)設(shè)備：路由器/交換機(jī)管理接口、VPN網(wǎng)關(guān)配置策略

2.Web應(yīng)用系統(tǒng)：電商平臺(tái)訂單接口、CMS后臺(tái)管理模塊

3.數(shù)據(jù)庫系統(tǒng)：MySQL用戶權(quán)限表、OracleTNS監(jiān)聽服務(wù)

4.工業(yè)控制系統(tǒng)：SCADA人機(jī)交互界面、PLC編程端口

5.移動(dòng)應(yīng)用程序：Android本地存儲(chǔ)加密強(qiáng)度、iOS鑰匙鏈訪問策略

檢測(cè)方法

1.ASTME3180-18：基于攻擊樹模型的網(wǎng)絡(luò)滲透測(cè)試規(guī)程

2.ISO/IEC27001:2022AnnexA.9：訪問控制策略符合性審計(jì)流程

3.GB/T22239-2019：網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（三級(jí)系統(tǒng)訪問控制項(xiàng)）

4.OWASPASVSv4.0：身份驗(yàn)證（V2）與會(huì)話管理（V3）驗(yàn)證標(biāo)準(zhǔn)

5.NISTSP800-53Rev.5：AC-3訪問強(qiáng)制控制實(shí)施指南

檢測(cè)設(shè)備

1.NessusProfessionalv10.5：CVE漏洞庫匹配（含3000+未授權(quán)訪問類漏洞特征）

2.BurpSuiteEnterpriseEditionv2023.6：自動(dòng)化API端點(diǎn)遍歷（支持GraphQL注入測(cè)試）

3.MetasploitFrameworkv6.3：SMB協(xié)議匿名登錄漏洞利用模塊（MS17-010驗(yàn)證）

4.Wiresharkv4.0.8：TCP/UDP協(xié)議流量分析（會(huì)話劫持攻擊特征提?。?/p>

5.SQLMapv1.7：數(shù)據(jù)庫未授權(quán)訪問注入點(diǎn)探測(cè)（支持NoSQL盲注）

6.OpenVASv22.4：SCADA協(xié)議（Modbus/DNP3）未認(rèn)證訪問掃描

7.Acunetixv15.8：JWT令牌暴力破解引擎（每秒2000次密鑰嘗試）

8.QualysCloudPlatform：云存儲(chǔ)桶（AWSS3/AzureBlob）公開訪問策略審計(jì)

9.ShodanEnterprise：全球暴露設(shè)備檢索（5000萬+IoT設(shè)備指紋庫）

10.KaliLinux2023.4：Hydra網(wǎng)絡(luò)登錄爆破工具（支持62種協(xié)議測(cè)試）

北京中科光析科學(xué)技術(shù)研究所【簡稱：中析研究所】

報(bào)告：可出具第三方檢測(cè)報(bào)告(電子版/紙質(zhì)版)。

檢測(cè)周期：7~15工作日，可加急。

資質(zhì)：旗下實(shí)驗(yàn)室可出具CMA/CNAS資質(zhì)報(bào)告。

標(biāo)準(zhǔn)測(cè)試：嚴(yán)格按國標(biāo)/行標(biāo)/企標(biāo)/國際標(biāo)準(zhǔn)檢測(cè)。

非標(biāo)測(cè)試：支持定制化試驗(yàn)方案。

售后：報(bào)告終身可查，工程師1v1服務(wù)。

中析儀器 資質(zhì)