Cagetest——按效果付费的渗透测试服务

随着云服务和电商的发展，越来越多的用户将个人资料存储在“云”上，越来越多的交易通过网络完成。然而，国内的网络服务安全情况却不容乐观。

从支付宝员工盗卖用户信息，到某省联通业务管理系统可绕过登录权限查询全省机主信息,从腾讯群关系数据泄漏到戴尔商城后台弱口令泄露大量用户信息，仅仅在最近的3个月，就有这么多触目惊心的安全事故！

有感于国内企业安全意识的薄弱，CageTest在两个月前上线，为企业提供透测试服务，保护企业信息安全。

渗透测试服务是为企业提供的网络安全漏洞监测服务。在征得企业授权的前提下，尝试模拟黑客入侵企业的服务器，通过这种方式来评估网络系统的安全性。渗透测试的目标是找出被测系统中所有的安全漏洞。这些漏洞通常是由于设计缺陷、配置错误、软件bug等原因导致的。

在国外，渗透测试是常规安全措施。服务上线或新功能上线前，通常都要进行渗透测试。企业一般通过以下途径进行渗透测试：

自行进行渗透测试。在各种开源软件的基础上，自行开发渗透测试方案。例如，《开源安全测试方法论》（OSSTMM）总结了渗透测试的基本方法，可以免费下载。Kali Linux是基于Debian的开源操作系统，预装了大量渗透测试工具，包括nmap(端口扫描器)、Wireshark(抓包分析)、John the Ripper（密码破解）、Aircrack-ng（渗透测试无线网络的软件套件）等。metasploit是一款开源的渗透测试套件，可以在Linux和Windows上运行。
使用安全厂商提供的专有渗透测试软件，检测自己的系统。例如，rapid7的漏洞检测工具nexpose和Secpoint的漏洞扫描工具渗透者等。
使用安全厂商提供的渗透测试服务。较为知名的提供渗透测试服务的安全厂商有Rapid 7、Offensive Security、Clone Systems、Core Security、Saint、immunity等。

使用现成的渗透测试软件，很难进行完整全面的测试。而自行开发渗透测试方案，不仅费时费力，而且很多企业并不具备这方面的能力，自行开发的质量难以保证。因此，对于大多数关注信息安全的企业而言，选择第三方的渗透测试服务，是比较明智的选择。

国内企业安全意识相对薄弱，因此渗透测试服务鱼龙混杂。Cagetest的团队成员分布在世界5个国家，合作客户包括世界 500 强公司和安全机构，为企业提供如下渗透测试服务：

通过上百种人工或脚本侦测，全面扫描你所有的服务器和服务器集群。
模拟黑客入侵行为，尝试深度渗透网络以获取最高管理权限及机密数据。
倾尽所能地尝试渗透入侵，包括模拟社会工程攻击，真正解读你系统的防御能力。
提供包含渗透结果及改进建议的详细报告，包括上门培训系统管理员服务。
根据业内漏洞发布，对你的系统进行不定期的安全抽查，确保你的系统维持最高安全度。

尤其值得称道的是，Cagetest按照效果付费。一般而言，渗透测试服务按照小时或IP收费，有些渗透测试服务提供商还会要求企业提供系统的内部信息，以节省探索猜测的时间，降低测试开支。而Cagetest按效果付费，只有在成功渗透企业系统或发现漏洞后才收费，并且提供修补支持。如果企业的系统安全十分完善，Cagetest无法找到漏洞，那么在确认网络安全的同时，企业无需支付任何费用。这一收费模式是Cagetest的一大创新，也体现了Cagetest对自身技术实力的高度自信。

Cagetest的团队痴迷于安全技术，安全意识很高。例如，他们使用自行开发的专门应用进行联络，确保安全性。

再如，Cagetest的招聘页面也体现了其痴迷安全技术的风格。我们不久前报道的GitCafe，如果你看过它的招聘页面，会发现只有如下信息：

5aaC5p6c5L2g5a+55oiR5Lus5Zyo5YGa55qE5LqL5oOF5pyJ5YW06Laj77yM5bm25LiU5a+5cmFpbHMv5YmN56uv5byA5Y+R5pyJ6Ieq5L+h77yM5qyi6L+O5Y+R6YCB6YKu5Lu25YiwZ2hvc3RtNTVAZ2l0Y2FmZS5jb23pooTnuqbkuqTmtYHml7bpl7TvvIznoa7lrprkuYvlkI7lj6/ku6Xnm7TmjqXmnaXliLDmiJHku6znmoTlt6XkvZzlrqTlj4Lop4LkuqTmtYHvvIzosKLosKIK

很geek的一个页面。虽然很简单，不过也可以剔除极不靠谱的应聘者。

而Cagetest的招聘页面进去之后，只有“此地无银三百两”七个字。这显然是提示你这里埋藏了些东西嘛。看下源代码，果然，有这么一行注释：

应聘者需要先破解这段密文才能获知应聘信息。和GitCafe的相比，这段密文难度大多了。感兴趣的读者可以尝试一下。

如果没有头绪可以参考下这里

撰文 SegmentFault

Cagetest——按效果付费的渗透测试服务

你可能感兴趣的:(项目,渗透测试,安全)