1.SQL注入漏洞检测:Payload类型(布尔盲注/时间盲注)、响应时间阈值(≤200ms)、错误信息分析(数据库类型识别)2.跨站脚本攻击(XSS)检测:输入向量覆盖率(≥98%)、DOM树解析深度(5级)、编码绕过测试(UTF-7/Base64)3.CSRF令牌验证缺陷:令牌绑定强度(IP+Session双因子)、失效时间窗口(≤30s)、Referer头校验逻辑4.不安全配置项扫描:TLS协议版本(禁用SSLv3)、HTTP安全头缺失检测(CSP/X-Content-Type)5.弱认证机制识别:密码复杂度策略(大写+数字+符号)、多因素认证覆盖率(≥90%)、会话ID熵值(≥64bit)
1.Web应用程序:基于Java/PHP/.NET架构的B/S系统2.移动端应用:AndroidAPK/iOSIPA文件及后端API接口3.数据库系统:Oracle/MySQL/MongoDB的权限配置与查询日志4.工业控制系统:SCADA/DCS系统的Modbus/TCP协议通信模块5.IoT智能设备:智能摄像头/路由器的固件镜像与无线通信协议
1.ISO/IEC27034-1:2019应用安全验证规范2.ASTMF2877-2019工业控制系统漏洞测试指南3.GB/T30276-2020信息安全技术网络安全漏洞分类分级4.GB/T36627-2018政务信息系统安全扫描指南5.OWASPTestingGuidev4.2Web应用渗透测试方法论6.NISTSP800-115技术安全测试手册黑盒测试流程
1.NessusProfessionalv10.5:支持CVE-2023更新库的自动化漏洞扫描仪2.BurpSuiteEnterpriseEditionv2023.6:动态Web应用渗透测试平台3.MetasploitProv6.2:漏洞利用框架(含468个渗透模块)4.Wiresharkv3.6.0:网络协议深度解析工具(支持2000+协议解码)5.Nmapv7.92:端口服务识别系统(TCP/IP指纹库包含3500种特征)6.QualysCloudPlatform:云端资产漏洞管理系统(支持全球26个节点)7.CheckmarxSASTv9.4:静态代码分析引擎(覆盖15种编程语言)8.OpenVASv22.4:开源漏洞测试系统(集成6.8万条漏洞特征)9.Acunetixv14.5:深度JavaScript引擎的Web爬虫扫描器10.AppScanStandardv10.2.0:移动应用二进制代码逆向分析工具
报告:可出具第三方检测报告(电子版/纸质版)。
检测周期:7~15工作日,可加急。
资质:旗下实验室可出具CMA/CNAS资质报告。
标准测试:严格按国标/行标/企标/国际标准检测。
非标测试:支持定制化试验方案。
售后:报告终身可查,工程师1v1服务。
注意:因业务调整,暂不接受个人委托测试,望谅解(高校、研究所等性质的个人除外).
CMA/CNAS等证书详情,因时间等不可抗拒因素会发生变更,请咨询在线工程师.
其他证书详情(可咨询在线工程师):
荣誉资质 国防经济发展促进会 AAA级信用证书
合作客户(部分)
1、自改制以来和政、企、军多方多次合作,并获得众多好评;
2、始终以"助力科学进步、推动社会发展"作为研究院纲领;
3、坚持科学发展道路,统筹实验建设与技术人才培养共同发展;
4、学习贯彻人大精神,努力发展自身科技实力。
您好,欢迎访问北京中科光学科学技术研究所官网!
荣誉资质
研究院地址
中文
