摘要:使用安全厂商提供的渗透测试服务。国内企业安全意识相对薄弱,因此渗透测试服务鱼龙混杂。尤其值得称道的是,按照效果付费。
随着云服务和电商的发展,越来越多的用户将个人资料存储在“云”上,越来越多的交易通过网络完成。然而,国内的网络服务安全情况却不容乐观。
从支付宝员工盗卖用户信息,到某省联通业务管理系统可绕过登录权限查询全省机主信息,从腾讯群关系数据泄漏到戴尔商城后台弱口令泄露大量用户信息,仅仅在最近的3个月,就有这么多触目惊心的安全事故!
有感于国内企业安全意识的薄弱,CageTest在两个月前上线,为企业提供透测试服务,保护企业信息安全。
渗透测试服务是为企业提供的网络安全漏洞监测服务。在征得企业授权的前提下,尝试模拟黑客入侵企业的服务器,通过这种方式来评估网络系统的安全性。渗透测试的目标是找出被测系统中所有的安全漏洞。这些漏洞通常是由于设计缺陷、配置错误、软件bug等原因导致的。
在国外,渗透测试是常规安全措施。服务上线或新功能上线前,通常都要进行渗透测试。企业一般通过以下途径进行渗透测试:
自行进行渗透测试。在各种开源软件的基础上,自行开发渗透测试方案。例如,《开源安全测试方法论》(OSSTMM)总结了渗透测试的基本方法,可以免费下载。Kali Linux是基于Debian的开源操作系统,预装了大量渗透测试工具,包括nmap(端口扫描器)、Wireshark(抓包分析)、John the Ripper(密码破解)、Aircrack-ng(渗透测试无线网络的软件套件)等。metasploit是一款开源的渗透测试套件,可以在Linux和Windows上运行。
使用安全厂商提供的专有渗透测试软件,检测自己的系统。例如,rapid7的漏洞检测工具nexpose和Secpoint的漏洞扫描工具渗透者等。
使用安全厂商提供的渗透测试服务。较为知名的提供渗透测试服务的安全厂商有Rapid 7、Offensive Security、Clone Systems、Core Security、Saint、immunity等。
使用现成的渗透测试软件,很难进行完整全面的测试。而自行开发渗透测试方案,不仅费时费力,而且很多企业并不具备这方面的能力,自行开发的质量难以保证。因此,对于大多数关注信息安全的企业而言,选择第三方的渗透测试服务,是比较明智的选择。
国内企业安全意识相对薄弱,因此渗透测试服务鱼龙混杂。Cagetest的团队成员分布在世界5个国家,合作客户包括世界 500 强公司和安全机构,为企业提供如下渗透测试服务:
通过上百种人工或脚本侦测,全面扫描你所有的服务器和服务器集群。
模拟黑客入侵行为,尝试深度渗透网络以获取最高管理权限及机密数据。
倾尽所能地尝试渗透入侵,包括模拟社会工程攻击,真正解读你系统的防御能力。
提供包含渗透结果及改进建议的详细报告,包括上门培训系统管理员服务。
根据业内漏洞发布,对你的系统进行不定期的安全抽查,确保你的系统维持最高安全度。
尤其值得称道的是,Cagetest按照效果付费。一般而言,渗透测试服务按照小时或IP收费,有些渗透测试服务提供商还会要求企业提供系统的内部信息,以节省探索猜测的时间,降低测试开支。而Cagetest按效果付费,只有在成功渗透企业系统或发现漏洞后才收费,并且提供修补支持。如果企业的系统安全十分完善,Cagetest无法找到漏洞,那么在确认网络安全的同时,企业无需支付任何费用。这一收费模式是Cagetest的一大创新,也体现了Cagetest对自身技术实力的高度自信。
Cagetest的团队痴迷于安全技术,安全意识很高。例如,他们使用自行开发的专门应用进行联络,确保安全性。
再如,Cagetest的招聘页面也体现了其痴迷安全技术的风格。我们不久前报道的GitCafe, 如果你看过它的招聘页面,会发现只有如下信息:
5aaC5p6c5L2g5a+55oiR5Lus5Zyo5YGa55qE5LqL5oOF5pyJ5YW06Laj77yM5bm25LiU5a+5cmFpbHMv5YmN56uv5byA5Y+R5pyJ6Ieq5L+h77yM5qyi6L+O5Y+R6YCB6YKu5Lu25YiwZ2hvc3RtNTVAZ2l0Y2FmZS5jb23pooTnuqbkuqTmtYHml7bpl7TvvIznoa7lrprkuYvlkI7lj6/ku6Xnm7TmjqXmnaXliLDmiJHku6znmoTlt6XkvZzlrqTlj4Lop4LkuqTmtYHvvIzosKLosKIK
很geek的一个页面。虽然很简单,不过也可以剔除极不靠谱的应聘者。
而Cagetest的招聘页面进去之后,只有“此地无银三百两”七个字。这显然是提示你这里埋藏了些东西嘛。看下源代码,果然,有这么一行注释:
应聘者需要先破解这段密文才能获知应聘信息。和GitCafe的相比,这段密文难度大多了。感兴趣的读者可以尝试一下。
如果没有头绪可以参考下这里
撰文 SegmentFault
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/11074.html
摘要:下都提供了工具,可以判断文件类型,我们来尝试一下结果是哈哈,还透露了压缩前的文件名,,猜想一下,应该是的首字母,是什么呢了一下,是,也就是任天堂位游戏机的。果然是任天堂的既然如此,那就运行一下看看。 我们曾经介绍过Cagetest,按效果付费的渗透测试服务。当时我们提到了它的招聘页面,今天就来解密一下。 showImg(http://segmentfault.com/img/bVbK...
摘要:当季,云计算业务继续拓展市场领导地位,付费用户数量同比翻番,推动阿里云营收连续第个季度保持三位数增幅。年月日,一直较为低调的网易首度发布云战略,推出网易云,并将其云计算战略定位于场景化云服务,先行投入金额高达数十亿人民币。多起政务云低价中标事件之所以能够引起业界争议,背后反映出我国政务云服务市场已经进入市场爆发期,政府服务向云计算平台的迁移速度不断加快。云计算已成为我国提升政务管理水平、挖掘...
摘要:所以,云计算是一种美丽的商业模式,重构的不仅仅是行业,真正改变的是企业和社会的运营理念。云计算的业务模式可以从三个层次来看,,。 云计算,源自互联网,而如今又被超越了互联网。被媒体和产业热炒了几年之后,大家发现,最早提出云计算,推广云计算的厂家似乎没有什么成功的项目,倒是云的概念被应用到互联网乃至IT之外的领域,比如云商,云电视,云杀毒… 本文认为云计算最有价值的是其是按需取用的商业模...
摘要:借助互联网云计算技术,实现多业态融合,成为产业结构调整升级新方向,极大的促进中小企业创新创业和全社会信息化水平提升。云计算的市场潜力和发展前景是巨大的,其中云计算扩展投资价值混合云计算的出现移动云服务和云安全等几个方面是备受关注的。云计算可以为用户提供众多的服务,大致包括三个层次的服务,分别是基础设施即服务、平台即服务和软件即服务。通过云计算技术,这些应用可以大大的方便我们的生活,我们可以随...
摘要:腾讯云腾讯云支持全网加密传输,支持配置防盗链黑白名单单单节点限制等,抵御恶意用户。小结在特色功能上三家各有千秋,在数据分析等方面三家都具备,在安全性上阿里云和腾讯云不错,在简单易用方面腾讯云有优势。 如今,云计算产品越来越多,像国内的BAT三大巨头都提供了云主机(腾讯云CVM、阿里云ECS、百度云BCC),另外还有存储、数据库、安全等相关云服务。在这其中,CDN也是一项重要的云服务,C...
阅读 3036·2023-04-25 22:47
阅读 3547·2021-10-11 10:59
阅读 2112·2021-09-07 10:12
阅读 3975·2021-08-11 11:15
阅读 3325·2019-08-30 13:15
阅读 1630·2019-08-30 13:00
阅读 831·2019-08-29 14:02
阅读 1527·2019-08-26 13:57
