資訊專欄INFORMATION COLUMN
摘要:使用安全廠商提供的滲透測試服務。國內企業安全意識相對薄弱,因此滲透測試服務魚龍混雜。尤其值得稱道的是,按照效果付費。
隨著云服務和電商的發展,越來越多的用戶將個人資料存儲在“云”上,越來越多的交易通過網絡完成。然而,國內的網絡服務安全情況卻不容樂觀。
從支付寶員工盜賣用戶信息,到某省聯通業務管理系統可繞過登錄權限查詢全省機主信息,從騰訊群關系數據泄漏到戴爾商城后臺弱口令泄露大量用戶信息,僅僅在最近的3個月,就有這么多觸目驚心的安全事故!
有感于國內企業安全意識的薄弱,CageTest在兩個月前上線,為企業提供透測試服務,保護企業信息安全。
滲透測試服務是為企業提供的網絡安全漏洞監測服務。在征得企業授權的前提下,嘗試模擬黑客入侵企業的服務器,通過這種方式來評估網絡系統的安全性。滲透測試的目標是找出被測系統中所有的安全漏洞。這些漏洞通常是由于設計缺陷、配置錯誤、軟件bug等原因導致的。
在國外,滲透測試是常規安全措施。服務上線或新功能上線前,通常都要進行滲透測試。企業一般通過以下途徑進行滲透測試:
自行進行滲透測試。在各種開源軟件的基礎上,自行開發滲透測試方案。例如,《開源安全測試方法論》(OSSTMM)總結了滲透測試的基本方法,可以免費下載。Kali Linux是基于Debian的開源操作系統,預裝了大量滲透測試工具,包括nmap(端口掃描器)、Wireshark(抓包分析)、John the Ripper(密碼破解)、Aircrack-ng(滲透測試無線網絡的軟件套件)等。metasploit是一款開源的滲透測試套件,可以在Linux和Windows上運行。
使用安全廠商提供的專有滲透測試軟件,檢測自己的系統。例如,rapid7的漏洞檢測工具nexpose和Secpoint的漏洞掃描工具滲透者等。
使用安全廠商提供的滲透測試服務。較為知名的提供滲透測試服務的安全廠商有Rapid 7、Offensive Security、Clone Systems、Core Security、Saint、immunity等。
使用現成的滲透測試軟件,很難進行完整全面的測試。而自行開發滲透測試方案,不僅費時費力,而且很多企業并不具備這方面的能力,自行開發的質量難以保證。因此,對于大多數關注信息安全的企業而言,選擇第三方的滲透測試服務,是比較明智的選擇。
國內企業安全意識相對薄弱,因此滲透測試服務魚龍混雜。Cagetest的團隊成員分布在世界5個國家,合作客戶包括世界 500 強公司和安全機構,為企業提供如下滲透測試服務:
通過上百種人工或腳本偵測,全面掃描你所有的服務器和服務器集群。
模擬黑客入侵行為,嘗試深度滲透網絡以獲取最高管理權限及機密數據。
傾盡所能地嘗試滲透入侵,包括模擬社會工程攻擊,真正解讀你系統的防御能力。
提供包含滲透結果及改進建議的詳細報告,包括上門培訓系統管理員服務。
根據業內漏洞發布,對你的系統進行不定期的安全抽查,確保你的系統維持最高安全度。
尤其值得稱道的是,Cagetest按照效果付費。一般而言,滲透測試服務按照小時或IP收費,有些滲透測試服務提供商還會要求企業提供系統的內部信息,以節省探索猜測的時間,降低測試開支。而Cagetest按效果付費,只有在成功滲透企業系統或發現漏洞后才收費,并且提供修補支持。如果企業的系統安全十分完善,Cagetest無法找到漏洞,那么在確認網絡安全的同時,企業無需支付任何費用。這一收費模式是Cagetest的一大創新,也體現了Cagetest對自身技術實力的高度自信。
Cagetest的團隊癡迷于安全技術,安全意識很高。例如,他們使用自行開發的專門應用進行聯絡,確保安全性。
再如,Cagetest的招聘頁面也體現了其癡迷安全技術的風格。我們不久前報道的GitCafe, 如果你看過它的招聘頁面,會發現只有如下信息:
5aaC5p6c5L2g5a+55oiR5Lus5Zyo5YGa55qE5LqL5oOF5pyJ5YW06Laj77yM5bm25LiU5a+5cmFpbHMv5YmN56uv5byA5Y+R5pyJ6Ieq5L+h77yM5qyi6L+O5Y+R6YCB6YKu5Lu25YiwZ2hvc3RtNTVAZ2l0Y2FmZS5jb23pooTnuqbkuqTmtYHml7bpl7TvvIznoa7lrprkuYvlkI7lj6/ku6Xnm7TmjqXmnaXliLDmiJHku6znmoTlt6XkvZzlrqTlj4Lop4LkuqTmtYHvvIzosKLosKIK
很geek的一個頁面。雖然很簡單,不過也可以剔除極不靠譜的應聘者。
而Cagetest的招聘頁面進去之后,只有“此地無銀三百兩”七個字。這顯然是提示你這里埋藏了些東西嘛。看下源代碼,果然,有這么一行注釋:
應聘者需要先破解這段密文才能獲知應聘信息。和GitCafe的相比,這段密文難度大多了。感興趣的讀者可以嘗試一下。
如果沒有頭緒可以參考下這里
撰文 SegmentFault
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/11074.html
摘要:下都提供了工具,可以判斷文件類型,我們來嘗試一下結果是哈哈,還透露了壓縮前的文件名,,猜想一下,應該是的首字母,是什么呢了一下,是,也就是任天堂位游戲機的。果然是任天堂的既然如此,那就運行一下看看。 我們曾經介紹過Cagetest,按效果付費的滲透測試服務。當時我們提到了它的招聘頁面,今天就來解密一下。 showImg(http://segmentfault.com/img/bVbK...
摘要:當季,云計算業務繼續拓展市場領導地位,付費用戶數量同比翻番,推動阿里云營收連續第個季度保持三位數增幅。年月日,一直較為低調的網易首度發布云戰略,推出網易云,并將其云計算戰略定位于場景化云服務,先行投入金額高達數十億人民幣。多起政務云低價中標事件之所以能夠引起業界爭議,背后反映出我國政務云服務市場已經進入市場爆發期,政府服務向云計算平臺的遷移速度不斷加快。云計算已成為我國提升政務管理水平、挖掘...
摘要:所以,云計算是一種美麗的商業模式,重構的不僅僅是行業,真正改變的是企業和社會的運營理念。云計算的業務模式可以從三個層次來看,,。 云計算,源自互聯網,而如今又被超越了互聯網。被媒體和產業熱炒了幾年之后,大家發現,最早提出云計算,推廣云計算的廠家似乎沒有什么成功的項目,倒是云的概念被應用到互聯網乃至IT之外的領域,比如云商,云電視,云殺毒… 本文認為云計算最有價值的是其是按需取用的商業模...
摘要:借助互聯網云計算技術,實現多業態融合,成為產業結構調整升級新方向,極大的促進中小企業創新創業和全社會信息化水平提升。云計算的市場潛力和發展前景是巨大的,其中云計算擴展投資價值混合云計算的出現移動云服務和云安全等幾個方面是備受關注的。云計算可以為用戶提供眾多的服務,大致包括三個層次的服務,分別是基礎設施即服務、平臺即服務和軟件即服務。通過云計算技術,這些應用可以大大的方便我們的生活,我們可以隨...
摘要:騰訊云騰訊云支持全網加密傳輸,支持配置防盜鏈黑白名單單單節點限制等,抵御惡意用戶。小結在特色功能上三家各有千秋,在數據分析等方面三家都具備,在安全性上阿里云和騰訊云不錯,在簡單易用方面騰訊云有優勢。 如今,云計算產品越來越多,像國內的BAT三大巨頭都提供了云主機(騰訊云CVM、阿里云ECS、百度云BCC),另外還有存儲、數據庫、安全等相關云服務。在這其中,CDN也是一項重要的云服務,C...
閱讀 3263·2023-04-25 22:47
閱讀 3775·2021-10-11 10:59
閱讀 2309·2021-09-07 10:12
閱讀 4259·2021-08-11 11:15
閱讀 3438·2019-08-30 13:15
閱讀 1756·2019-08-30 13:00
閱讀 974·2019-08-29 14:02
閱讀 1689·2019-08-26 13:57
