随着云服务和电商的发展,越来越多的用户将个人资料存储在“云”上,越来越多的交易通过网络完成。然而,国内的网络服务安全情况却不容乐观。
从支付宝员工盗卖用户信息,到某省联通业务管理系统可绕过登录权限查询全省机主信息,从腾讯群关系数据泄漏到戴尔商城后台弱口令泄露大量用户信息,仅仅在最近的3个月,就有这么多触目惊心的安全事故!
有感于国内企业安全意识的薄弱,CageTest在两个月前上线,为企业提供透测试服务,保护企业信息安全。
渗透测试服务是为企业提供的网络安全漏洞监测服务。在征得企业授权的前提下,尝试模拟黑客入侵企业的服务器,通过这种方式来评估网络系统的安全性。渗透测试的目标是找出被测系统中所有的安全漏洞。这些漏洞通常是由于设计缺陷、配置错误、软件bug等原因导致的。
在国外,渗透测试是常规安全措施。服务上线或新功能上线前,通常都要进行渗透测试。企业一般通过以下途径进行渗透测试:
- 自行进行渗透测试。在各种开源软件的基础上,自行开发渗透测试方案。例如,《开源安全测试方法论》(OSSTMM)总结了渗透测试的基本方法,可以免费下载。Kali Linux是基于Debian的开源操作系统,预装了大量渗透测试工具,包括nmap(端口扫描器)、Wireshark(抓包分析)、John the Ripper(密码破解)、Aircrack-ng(渗透测试无线网络的软件套件)等。metasploit是一款开源的渗透测试套件,可以在Linux和Windows上运行。
- 使用安全厂商提供的专有渗透测试软件,检测自己的系统。例如,rapid7的漏洞检测工具nexpose和Secpoint的漏洞扫描工具渗透者等。
- 使用安全厂商提供的渗透测试服务。较为知名的提供渗透测试服务的安全厂商有Rapid 7、Offensive Security、Clone Systems、Core Security、Saint、immunity等。
使用现成的渗透测试软件,很难进行完整全面的测试。而自行开发渗透测试方案,不仅费时费力,而且很多企业并不具备这方面的能力,自行开发的质量难以保证。因此,对于大多数关注信息安全的企业而言,选择第三方的渗透测试服务,是比较明智的选择。
国内企业安全意识相对薄弱,因此渗透测试服务鱼龙混杂。Cagetest的团队成员分布在世界5个国家,合作客户包括世界 500 强公司和安全机构,为企业提供如下渗透测试服务:
- 通过上百种人工或脚本侦测,全面扫描你所有的服务器和服务器集群。
- 模拟黑客入侵行为,尝试深度渗透网络以获取最高管理权限及机密数据。
- 倾尽所能地尝试渗透入侵,包括模拟社会工程攻击,真正解读你系统的防御能力。
- 提供包含渗透结果及改进建议的详细报告,包括上门培训系统管理员服务。
- 根据业内漏洞发布,对你的系统进行不定期的安全抽查,确保你的系统维持最高安全度。
尤其值得称道的是,Cagetest按照效果付费。一般而言,渗透测试服务按照小时或IP收费,有些渗透测试服务提供商还会要求企业提供系统的内部信息,以节省探索猜测的时间,降低测试开支。而Cagetest按效果付费,只有在成功渗透企业系统或发现漏洞后才收费,并且提供修补支持。如果企业的系统安全十分完善,Cagetest无法找到漏洞,那么在确认网络安全的同时,企业无需支付任何费用。这一收费模式是Cagetest的一大创新,也体现了Cagetest对自身技术实力的高度自信。
Cagetest的团队痴迷于安全技术,安全意识很高。例如,他们使用自行开发的专门应用进行联络,确保安全性。
再如,Cagetest的招聘页面也体现了其痴迷安全技术的风格。我们不久前报道的GitCafe, 如果你看过它的招聘页面,会发现只有如下信息:
5aaC5p6c5L2g5a+55oiR5Lus5Zyo5YGa55qE5LqL5oOF5pyJ5YW06Laj77yM5bm25LiU5a+5cmFpbHMv5YmN56uv5byA5Y+R5pyJ6Ieq5L+h77yM5qyi6L+O5Y+R6YCB6YKu5Lu25YiwZ2hvc3RtNTVAZ2l0Y2FmZS5jb23pooTnuqbkuqTmtYHml7bpl7TvvIznoa7lrprkuYvlkI7lj6/ku6Xnm7TmjqXmnaXliLDmiJHku6znmoTlt6XkvZzlrqTlj4Lop4LkuqTmtYHvvIzosKLosKIK
很geek的一个页面。虽然很简单,不过也可以剔除极不靠谱的应聘者。
而Cagetest的招聘页面进去之后,只有“此地无银三百两”七个字。这显然是提示你这里埋藏了些东西嘛。看下源代码,果然,有这么一行注释:
<!--
H4sICK1XylIAA2N0Lm5lcwDt009oHFUcB/C3SXba2qiLhzJIKW/RgwUj40X2EMw2NShS658ED3so
g+JiYA6egizD0AVXirilFyH0NAysZA49eAslyJulDBJC2YtLIJDj9hbipWIbZv29NzMvs5EUFPX0
/WR3vvt+782892Ym15eWXy6VmHZ9aZldmxG7Xwfju+HNLuP8iQhe8QV/KEIW1Ltn+PbgSbfM6UM9
IQ9Yd0aW5LAFv0LDgr7/PH8xCqe60zyUvXw14psR/zmSY8r+ef6rCITPaIx/PjhHw19Kf1aCyD+g
n5xHvXcOj8JK5+PwUuejsNT5JPy8szyyBlOjN4PS7Qv1bfoGZ+9dqF8u/bCwPXjc+3RQqlPPNO9Z
5vvk8vS5Cs1cv23w7w1ur1PJXOWd6vpzUod/Z37BN36s0mrtgNEg+tj3pnjlKR2spzYtlLZ0a/C7
/W31G+6zn/ihQTv/ZfDY9ssB4+WI9srkXiM/kSv+TZyo9/3pU+pn0/rJC512wmkTRP4f2YXCS90S
t8MX5DGgxaoll2kLvWrX4D1OB3pMIn1yPW6uig6/MzWq3hrs2e8urSwtr7xx9cMP2AKRhzk6zFUY
fS228PqrrzE+d2Vljl+9Qq/CszEAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAD4N9wVZ8SM
GLeVMfMUdtxurq2tfVZoL7YWbyxOtlvFdqOx2GoV+29M9lO7MdFutCbHN1T/zVSSovbm1qbvUzvu
x/v71F7f2lqX/aN+f0T9DzbubDyg9v3hwfB+8rfvwqN2m7F2+9Fp9ZP51/O8cVtV8myPvUKalmLq
nFV0/qNH9x8yJWbqdBxH1Y8zoT9Hp/m2PW+4ps5mc9a0mk2d1ntfWo1rb+mUV83mSTO9LTotNbGl
k5l73p4cqtP0zGKmF7MK6WXVPGVdp2HQumxbpxsPh8PY1WnW5LyeTjc2Ln4lkok01Pg0L847OzvJ
rM5EHBmynqcbi6O4kImc17J0ulRM+3V6RiH/bzRvEsexTlq0/OikfQiR7kclFeOsX2UixJGg+zSZ
Qiedt5/dD5VxNk+e8+q5z+s0JBqXZ7yze7i7E+sUSqIzPqDHKK+XZzwaPiykq9bp6pSbkuvKM6sb
ecq6nCdPWrebPVeVnpn+p+QZZ9c9Tsep1SqFlC+aU0in5qj1pdlsNuXWddJ7UrPlfcwSAAAAAAAA
AAAAAAAA4Fn+BPrWaeYQYAAA
-->
应聘者需要先破解这段密文才能获知应聘信息。和GitCafe的相比,这段密文难度大多了。感兴趣的读者可以尝试一下。
撰文 SegmentFault
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。