參考周期：常規(guī)試驗7-15工作日,，加急試驗5個工作日,。

注意：因業(yè)務(wù)調(diào)整,暫不接受個人委托測試,望諒解(高校、研究所等性質(zhì)的個人除外),。

檢測項目

1.身份認證漏洞檢測：弱口令掃描（長度≤8位/復(fù)雜度不足）,、雙因素認證缺失驗證

2.權(quán)限配置錯誤分析：ACL規(guī)則沖突檢查（IP/MAC白名單覆蓋率≥95%）、RBAC模型層級驗證

3.會話管理缺陷測試：Cookie安全屬性（HttpOnly/Secure標記缺失）,、JWT令牌時效性（有效期＞30分鐘）

4.API接口越權(quán)探測：水平越權(quán)（UID參數(shù)篡改測試）,、垂直越權(quán)（角色權(quán)限提升驗證）

5.日志審計完整性核查：訪問日志留存周期（≥180天）、異常登錄行為識別率（誤報率＜5%）

檢測范圍

1.網(wǎng)絡(luò)設(shè)備：路由器/交換機管理接口,、VPN網(wǎng)關(guān)配置策略

2.Web應(yīng)用系統(tǒng)：電商平臺訂單接口,、CMS后臺管理模塊

3.數(shù)據(jù)庫系統(tǒng)：MySQL用戶權(quán)限表、OracleTNS監(jiān)聽服務(wù)

4.工業(yè)控制系統(tǒng)：SCADA人機交互界面,、PLC編程端口

5.移動應(yīng)用程序：Android本地存儲加密強度,、iOS鑰匙鏈訪問策略

檢測方法

1.ASTME3180-18：基于攻擊樹模型的網(wǎng)絡(luò)滲透測試規(guī)程

2.ISO/IEC27001:2022AnnexA.9：訪問控制策略符合性審計流程

3.GB/T22239-2019：網(wǎng)絡(luò)安全等級保護基本要求（三級系統(tǒng)訪問控制項）

4.OWASPASVSv4.0：身份驗證（V2）與會話管理（V3）驗證標準

5.NISTSP800-53Rev.5：AC-3訪問強制控制實施指南

檢測設(shè)備

1.NessusProfessionalv10.5：CVE漏洞庫匹配（含3000+未授權(quán)訪問類漏洞特征）

2.BurpSuiteEnterpriseEditionv2023.6：自動化API端點遍歷（支持GraphQL注入測試）

3.MetasploitFrameworkv6.3：SMB協(xié)議匿名登錄漏洞利用模塊（MS17-010驗證）

4.Wiresharkv4.0.8：TCP/UDP協(xié)議流量分析（會話劫持攻擊特征提取）

5.SQLMapv1.7：數(shù)據(jù)庫未授權(quán)訪問注入點探測（支持NoSQL盲注）

6.OpenVASv22.4：SCADA協(xié)議（Modbus/DNP3）未認證訪問掃描

7.Acunetixv15.8：JWT令牌暴力破解引擎（每秒2000次密鑰嘗試）

8.QualysCloudPlatform：云存儲桶（AWSS3/AzureBlob）公開訪問策略審計

9.ShodanEnterprise：全球暴露設(shè)備檢索（5000萬+IoT設(shè)備指紋庫）

10.KaliLinux2023.4：Hydra網(wǎng)絡(luò)登錄爆破工具（支持62種協(xié)議測試）

北京中科光析科學技術(shù)研究所【簡稱：中析研究所】

報告：可出具第三方檢測報告(電子版/紙質(zhì)版),。

檢測周期：7~15工作日,，可加急。

資質(zhì)：旗下實驗室可出具CMA/CNAS資質(zhì)報告,。

標準測試：嚴格按國標/行標/企標/國際標準檢測,。

非標測試：支持定制化試驗方案。

售后：報告終身可查,，工程師1v1服務(wù),。

中析儀器 資質(zhì)