网络通信与安全紫金山实验室-竞价公告
发送至邮箱
网络通信与安全紫金山实验室-竞价公告
申购单号:CFPMLABS*
申购主题:SGKY*-拟态反向代理设备渗透测试服务
采购单位:网络通信与安全紫金山实验室
报价要求:
发票类型:增值税专用发票
币种:人民币
预算:
签约时间:发布竞价结果后7天内签约合同
送货时间:合同签订后7天内送达
安装要求:免费上门安装(含材料费)
收货地址: (略) / (略) /江宁区/点击查看>>*
付款方式:货到验收合格后付款
备注说明:测试周期请注明。申购明细:
| 序号 | 采购内容 | 数量 | 预算单价 |
| 1 | 拟态反向代理设备渗透测试服务 | 1.0 | 次 |
| 品牌 | |||
| 型号 | |||
| 规格参数 | 针对拟态反向代理设备共进行4类测试,包含黑盒测试、白盒测试、灰盒测试以及迭代测试,每类测试指标要求如下:【黑盒测试】1.对拟态反向代理设备进行信息收集、漏洞扫描与分析、渗透测试;2.漏洞扫描与渗透测试的规则库及知识库应涵盖 CVE、CNCVE、CNVD、CNNVD 等标准;3.漏洞扫描与渗透测试完成后,验证所发现的设备漏洞、信息泄露及配置不当等脆弱性问题,进行漏洞利用,提交《拟态反向代理设备黑盒测试报告》,并提供解决修复建议。【白盒测试】1.对拟态反向代理设备中部署的反向代理程序源码进行漏洞扫描与分析;所分析的程序包括但不限于 Nginx、Openresty;所分析的程序版本数量不少于5个,具体程序版本与配置由设备提供方指定;验证的漏洞数量不少于12个,漏洞类型不少于5种;扫描检测规则库及知识库应涵盖 CVE、CNCVE、CNVD、CNNVD 等标准;2.对拟态反向代理设备中部署的反向代理程序二进制文件进行漏洞扫描与分析;所分析的二进制程序包括但不限于 Nginx、Openresty;所分析的二进制文件由设备提供方提供;所分析的二进制文件每组3个,不少于4组;对二进制文件验证的漏洞数量不少于8个,漏洞类型不少于3种;扫描检测规则库及知识库应涵盖 CVE、CNCVE、CNVD、CNNVD 等标准;3.针对以上两条测试内容提交《拟态反向代理设备白盒测试报告》,并提供解决修复建议。【灰盒测试】1.对拟态反向代理设备进行基于让步规则的灰盒测试,由设备提供方将其中一个执行体向渗透测试方开放注入权限,渗透测试方进行探测扫描、漏洞利用与攻击、植入后门等操作,操作完成后,由设备提供方将设备由注入态切换为拟态状态。2.渗透测试方在拟态状态下进行渗透测试,测试范围应包括反向代理自身主要功能;验证注入攻击在拟态状态下的有效性。3.在相同条件下,对比非拟态反向代理设备和拟态反向代理设备之间受攻击的效果差异,评估拟态反向代理设备的防御有效性。4.针对以上三条测试内容提交《拟态反向代理设备灰盒测试报告》,并提供解决修复建议。【迭代测试】1.设备提供方对指标黑盒测试、白盒测试、灰盒测试所产生的漏洞进行修复与安全加固,加固完成后由渗透测试方进行迭代测试,验证在《拟态反向代理设备黑盒测试报告》、《拟态反向代理设备白盒测试报告》、《拟态反向代理设备灰盒测试报告》中已发现问题的修复效果;2.迭代测试轮次不少于3次。 | ||
| 质保及售后服务 | 服务内容中明确提出了版本数量、漏洞数量、漏洞类型等数量要求,当现有公开漏洞数量等无法满足要求时,首先提供证明材料,而后进行替代性测试。替代性测试可选用tomcat、apache等反向代理,由设备提供方根据*方建议指定。主流反向代理开源系统均无法满足时,总体数质量要求仍应提供证明材料,对未满足部分,可在现有反向代理代码中自编写漏洞或后门,但总体数量应满足上述指标要求。1.提交《拟态反向代理设备黑盒测试报告》、《拟态反向代理设备白盒测试报告》、《拟态反向代理设备灰盒测试报告》、《拟态反向代理设备迭代测试报告》;2.针对上述测试报告中所有漏洞均提供:①详细复现步骤,设备提供方应能够按照报告进行复现;②有效的修复方案,设备提供方根据方案修复后迭代测试环节应验证修复有效。 | ||
申购单号:CFPMLABS*
申购主题:SGKY*-拟态反向代理设备渗透测试服务
采购单位:网络通信与安全紫金山实验室
报价要求:
发票类型:增值税专用发票
币种:人民币
预算:
签约时间:发布竞价结果后7天内签约合同
送货时间:合同签订后7天内送达
安装要求:免费上门安装(含材料费)
收货地址: (略) / (略) /江宁区/点击查看>>*
付款方式:货到验收合格后付款
备注说明:测试周期请注明。申购明细:
| 序号 | 采购内容 | 数量 | 预算单价 |
| 1 | 拟态反向代理设备渗透测试服务 | 1.0 | 次 |
| 品牌 | |||
| 型号 | |||
| 规格参数 | 针对拟态反向代理设备共进行4类测试,包含黑盒测试、白盒测试、灰盒测试以及迭代测试,每类测试指标要求如下:【黑盒测试】1.对拟态反向代理设备进行信息收集、漏洞扫描与分析、渗透测试;2.漏洞扫描与渗透测试的规则库及知识库应涵盖 CVE、CNCVE、CNVD、CNNVD 等标准;3.漏洞扫描与渗透测试完成后,验证所发现的设备漏洞、信息泄露及配置不当等脆弱性问题,进行漏洞利用,提交《拟态反向代理设备黑盒测试报告》,并提供解决修复建议。【白盒测试】1.对拟态反向代理设备中部署的反向代理程序源码进行漏洞扫描与分析;所分析的程序包括但不限于 Nginx、Openresty;所分析的程序版本数量不少于5个,具体程序版本与配置由设备提供方指定;验证的漏洞数量不少于12个,漏洞类型不少于5种;扫描检测规则库及知识库应涵盖 CVE、CNCVE、CNVD、CNNVD 等标准;2.对拟态反向代理设备中部署的反向代理程序二进制文件进行漏洞扫描与分析;所分析的二进制程序包括但不限于 Nginx、Openresty;所分析的二进制文件由设备提供方提供;所分析的二进制文件每组3个,不少于4组;对二进制文件验证的漏洞数量不少于8个,漏洞类型不少于3种;扫描检测规则库及知识库应涵盖 CVE、CNCVE、CNVD、CNNVD 等标准;3.针对以上两条测试内容提交《拟态反向代理设备白盒测试报告》,并提供解决修复建议。【灰盒测试】1.对拟态反向代理设备进行基于让步规则的灰盒测试,由设备提供方将其中一个执行体向渗透测试方开放注入权限,渗透测试方进行探测扫描、漏洞利用与攻击、植入后门等操作,操作完成后,由设备提供方将设备由注入态切换为拟态状态。2.渗透测试方在拟态状态下进行渗透测试,测试范围应包括反向代理自身主要功能;验证注入攻击在拟态状态下的有效性。3.在相同条件下,对比非拟态反向代理设备和拟态反向代理设备之间受攻击的效果差异,评估拟态反向代理设备的防御有效性。4.针对以上三条测试内容提交《拟态反向代理设备灰盒测试报告》,并提供解决修复建议。【迭代测试】1.设备提供方对指标黑盒测试、白盒测试、灰盒测试所产生的漏洞进行修复与安全加固,加固完成后由渗透测试方进行迭代测试,验证在《拟态反向代理设备黑盒测试报告》、《拟态反向代理设备白盒测试报告》、《拟态反向代理设备灰盒测试报告》中已发现问题的修复效果;2.迭代测试轮次不少于3次。 | ||
| 质保及售后服务 | 服务内容中明确提出了版本数量、漏洞数量、漏洞类型等数量要求,当现有公开漏洞数量等无法满足要求时,首先提供证明材料,而后进行替代性测试。替代性测试可选用tomcat、apache等反向代理,由设备提供方根据*方建议指定。主流反向代理开源系统均无法满足时,总体数质量要求仍应提供证明材料,对未满足部分,可在现有反向代理代码中自编写漏洞或后门,但总体数量应满足上述指标要求。1.提交《拟态反向代理设备黑盒测试报告》、《拟态反向代理设备白盒测试报告》、《拟态反向代理设备灰盒测试报告》、《拟态反向代理设备迭代测试报告》;2.针对上述测试报告中所有漏洞均提供:①详细复现步骤,设备提供方应能够按照报告进行复现;②有效的修复方案,设备提供方根据方案修复后迭代测试环节应验证修复有效。 | ||
招投标大数据
最近搜索
无
热门搜索
无
