服务内容

服务说明

代码审核

服务

范围

包括但不限于使用ASP、ASP.NET（VB/C#）、JSP（JAVA、

PHP等主流语言开发的B/S应用系统、使用C++、JAVA、C#、VB等主流语言开发的C/S应用系统，以及使用XML语言编写的文件、SQL语言和数据库存储过程等

检查

内容

发现如下违背程序编写标准的问题：源代码设计问题、错误

处理不当、直接对象引用、资源滥用及API滥用等

重点关注如下要素：跨站脚本漏洞、跨站请求伪装漏洞、

SQL注入漏洞、命令执行漏洞、日志伪造漏洞、参数篡改、

密码明文存储、配置文件缺陷、路径操作错误、资源管理、

不安全的Ajax调用、系统信息泄露及调试程序残留等

服务

方式

进行人工结合自动化代码审核工具等检测，其中代码审核工

具要求采用厂商自主研发的专用源代码审核工具，非免费开

源产品，非通用漏洞扫描类产品，需提供产品软件著作权证

书

服务

报告

对源代码中的每个安全弱点进行详细描述，描述内容至少包

括安全弱点所在的代码页名、代码行数、问题代码片段以及

弱点可能导致的安全问题等，并提出解决方案

渗透测试

服务

范围

操作系统包括：
Windows、发行版Linux、AIX、Solaris、FreeBSD等主流系

统

应用系统包括：
Oracle、MySQL、MSSQL、Sybase、DB2、Informix等主流数

据库，Apache、IIS、Tomcat、Weblogic等主流WEB服务器，FTP、DNS等主流应用服务器

WEB程序包括：
ASP、PHP、JSP、.NET、Perl、Python、Shell、JAVA等语言编写的WEB程序

网络设备包括：
常见厂商的路由器、交换机等设备

测试

内容

渗透测试的工作内容包括但不限于：信息收集类、配置管理

类（HTTP方法测试、信息泄露等）、认证类（用户枚举、密

码猜解、密码重置测试等）、会话类（cookie测试、会话

固定测试等）、授权类（URL越权、路径遍历、业务逻辑、

文件下载测试等）、数据验证类（SQL注入、跨站脚本、代

码注入、URL跳转、文件上传测试等）、系统应用漏洞等

服务

方式

渗透测试服务方式包括内部渗透测试及外部渗透测试。内部

测试是测试人员到达现场，直接接入到办公网络或业务网络

中；外部测试是直接从互联网访问并对系统进行测试。

工具

要求

渗透测试工具要求服务商具有自主研发的专用渗透测试类工

具，非免费开源产品，非通用漏洞扫描类产品，需提供产品

软件著作权证书

服务

报告

实施渗透测试后出具《XX系统渗透测试报告》，针对每种

威胁进行详细描述，描述内容至少包括测试范围、过程、使

用的技术手段以及获得的成果。并针对性提出解决方案和相

关的安全建议，为管理员的维护和修补工作提供参考

服务内容

服务说明

服务范围

包括但不限于以下类型安全事件的应急响应支持：
应用服务瘫痪问题；
网络阻塞、DDoS攻击问题；
服务器遭劫持问题；
系统异常宕机问题；
恶意入侵、黑客攻击问题；
病毒爆发问题；
内部安全事故等

服务方式

根据事件实际情况提供远程或现场应急服务
现场服务：指接到紧急服务请求，支持人员在最短时间内赶赴现

场，协助分析事件可能的原因，解决各类安全事件
远程服务：指通过电话、远程协助、远程临时接入等非现场的活

动，协助分析事件可能的原因，解决各类安全事件

应急内容

对可疑的恶意入侵、恶意资源消耗、病毒爆发、内部安全事故等

事件进行分析，查找事发原因，通过专业工具对入侵事件进行追

踪、取证，分析安全日志，获取入侵者的信息和证据。帮助我方

进行系统安全恢复、应用服务安全恢复、数据安全恢复、网络性

能安全恢复、网络病毒清除等工作

服务报告

应急响应工作完成后一个工作日内提供《XX应急响应服务处理报

告》；
报告需对整个安全事件的来龙去脉进行详尽的分析，并最终给出

分析结果；
并根据分析结果提出解决方案和相关的安全建议，为事件的后期

处理提供参考