2014年2月，Bitstamp、门头沟（MTGOX）以及BTC-e几个交易所受到了DDoS拒绝服务攻击，其中MTGOX受灾严重，据当时的CEO马克.卡普勒斯称，攻击者通过MTGOX的系统漏洞将交易所里的比特币全部一扫而空，导致公司受这件事的影响宣布破产。

要知道，马克.卡普勒斯可是程序员出身，也许有人会问，“程序员都没有办法控制公司服务器系统被入侵吗”？

对没错就是你想的那样，IT≠网络安全。

和网络攻击相关的事件数不胜数，对于全球金融的影响力可谓是“我投入了一颗石子，引起了波澜滔天”，就去年一整年来看，网络攻击事件频繁发生，全球受灾状况惨重：

2020年1月6日，伊朗黑客利用错误配置的内容管理系统(CMS)，向联邦储备图书馆计划（FDLP）网站插入图像和消息；2020年2月，亚马逊网络服务（AWS）成为大规模分布式拒绝服务（DDoS）攻击的目标，其规模为每秒2.3Tbps，被认为是历史上最大的DDoS攻击之一；2020年5月1日，勒索软件Maze通过哥斯达黎加银行（BCR）网络窃取1100万张信用卡凭证；2020年5月2日，澳大利亚民政事务总署数据库泄露，造成77.4万名移民信息泄露...

正因为网络攻击影响甚广、危害颇重，为了保障玩过安全、维护网络空间主权、社会公共利益和国家安全，保障个人、组织的合法权益，2016年11月7日第十二届全国人大常委会表决通过第一部全面规范网络空间安全的基础性法律《网络安全法》于2017年6月1日起施行；2020年4月27日，国家互联网信息办公室、工业和信息化部等12个部门联合发布《网络安全审查办法》于2020年6月1日起施行。

历久弥新，网盾科技在新一轮发展当中、联合网盾网络安全攻城狮培训，推出了一款专门的网盾web安全渗透评测服务，模拟黑客攻击、对业务系统进行安全性测试，检测企业服务器以及web端是否包含漏洞并协助修复，让黑客无迹可寻。

为什么需要做渗透测试？

（一）避免业务安全隐患技术层面定性的分析系统的安全性，串联系统安全隐患点，有效验证其存在性及其可利用程度，避免因安全漏洞造成业务损失；

（二）提供权威安全保障出具网站安全认证证书、检测报告、官方标识等权威的正式材料，有效提升用户对业务站点的信任度，促进业务快速成交；

（三）助力企业品牌形象提升企业网站安全实力的同时，展现企业责任心等正面品牌形象，获取用户好感的同时提高业务竞争力，轻易脱颖而出。

测试所取得的信息是否会外泄？

所有测试结果都只会通过报告形式发送给客户，绝对不会把任何客户测试数据泄露给第三方。

测试结束后是否可高枕无忧？

攻击者的攻击手段层出不穷，不能完全保证不会被新的攻击方式入侵=，因此建议定期进行安全性测试。

现就网盾web安全渗透评测服务进行逐条分析：

服务对象

渗透评测服务所涉及的对象群体较宽泛，可最终归类为以下六个类型：

（一）安卓应用

包括客户端、组件、本地数据、敏感信息、业务等64个检测项目；

（二）网页应用

注入、跨站、越权、CSRF、中间件、规避交易、信息泄露、业务等；

（三）微信小程序

SQL注入、越权访问、文件上传、CSRF以及个人信息泄露等；

（四）微信服务号

包括客户端、组件、本地数据、敏感信息、业务等64个检测项目；

（五）ios应用

包括客户端、策略、通信、敏感信息、业务等33个检测项目；

1. 工控安全测试

包括针对工控安全中的28个检测项目

测试内容

（一）安全性漏洞挖掘

找出应用中存在的安全漏洞。

安全应用检测是对传统安全弱点的串联并形成路径，最终通过路径式利用达到模拟入侵的效果，从而挖掘应用中对业务的运行造成影响、导致敏感信息泄露、现金流失和信誉损失的漏洞。

（二）漏洞修复方案

渗透测试的最终目的是保障企业信息安全，因此在发现漏洞后对漏洞进行修复才是关键。

网盾安全专家针对漏洞产生的原因进行分析并提出修复建议，防止恶意攻击。

1. 回归测试

在漏洞修复完成后，网盾针对修复结果进行方案性的有效评测，分析修复方案的有损打击和误打击风险，验证漏洞修复结果，并对漏洞修复方案进行汇总、标注修复结果以及更新发送测试报告。

测试项目