未授权访问检测

参考周期：常规试验7-15工作日，加急试验5个工作日。

注意：因业务调整,暂不接受个人委托测试,望谅解(高校、研究所等性质的个人除外)。

检测项目

1.身份认证漏洞检测：弱口令扫描（长度≤8位/复杂度不足）、双因素认证缺失验证

2.权限配置错误分析：ACL规则冲突检查（IP/MAC白名单覆盖率≥95%）、RBAC模型层级验证

3.会话管理缺陷测试：Cookie安全属性（HttpOnly/Secure标记缺失）、JWT令牌时效性（有效期＞30分钟）

4.API接口越权探测：水平越权（UID参数篡改测试）、垂直越权（角色权限提升验证）

5.日志审计完整性核查：访问日志留存周期（≥180天）、异常登录行为识别率（误报率＜5%）

检测范围

1.网络设备：路由器/交换机管理接口、VPN网关配置策略

2.Web应用系统：电商平台订单接口、CMS后台管理模块

3.数据库系统：MySQL用户权限表、OracleTNS监听服务

4.工业控制系统：SCADA人机交互界面、PLC编程端口

5.移动应用程序：Android本地存储加密强度、iOS钥匙链访问策略

检测方法

1.ASTME3180-18：基于攻击树模型的网络渗透测试规程

2.ISO/IEC27001:2022AnnexA.9：访问控制策略符合性审计流程

3.GB/T22239-2019：网络安全等级保护基本要求（三级系统访问控制项）

4.OWASPASVSv4.0：身份验证（V2）与会话管理（V3）验证标准

5.NISTSP800-53Rev.5：AC-3访问强制控制实施指南

检测设备

1.NessusProfessionalv10.5：CVE漏洞库匹配（含3000+未授权访问类漏洞特征）

2.BurpSuiteEnterpriseEditionv2023.6：自动化API端点遍历（支持GraphQL注入测试）

3.MetasploitFrameworkv6.3：SMB协议匿名登录漏洞利用模块（MS17-010验证）

4.Wiresharkv4.0.8：TCP/UDP协议流量分析（会话劫持攻击特征提取）

5.SQLMapv1.7：数据库未授权访问注入点探测（支持NoSQL盲注）

6.OpenVASv22.4：SCADA协议（Modbus/DNP3）未认证访问扫描

7.Acunetixv15.8：JWT令牌暴力破解引擎（每秒2000次密钥尝试）

8.QualysCloudPlatform：云存储桶（AWSS3/AzureBlob）公开访问策略审计

9.ShodanEnterprise：全球暴露设备检索（5000万+IoT设备指纹库）

10.KaliLinux2023.4：Hydra网络登录爆破工具（支持62种协议测试）

北京中科光析科学技术研究所【简称：中析研究所】

报告：可出具第三方检测报告(电子版/纸质版)。

检测周期：7~15工作日，可加急。

资质：旗下实验室可出具CMA/CNAS资质报告。

标准测试：严格按国标/行标/企标/国际标准检测。

非标测试：支持定制化试验方案。

售后：报告终身可查，工程师1v1服务。

中析仪器 资质