检测项目

1.注入漏洞检测：包含SQL注入、命令注入及LDAP注入测试，参数覆盖输入过滤机制验证与特殊字符集（如'";--）触发响应分析。

2.跨站脚本（XSS）检测：验证反射型、存储型及DOM型漏洞，测试点包括HTML/JavaScript/CSS上下文转义规则与CSP策略配置。

3.身份认证缺陷检测：检查会话令牌强度（长度≥128位）、多因素认证覆盖率及密码策略复杂度（包含大小写字母、数字及符号组合）。

4.敏感数据泄露检测：扫描HTTP响应头（如X-Content-Type-Options）、SSL/TLS协议版本（≥TLS1.2）及数据库加密算法（AES-256）。

5.逻辑漏洞检测：验证业务流篡改风险（如订单金额篡改）、并发请求处理机制及API接口权限越界问题。

检测范围

1.企业级软件系统：ERP、CRM及OA系统的Web端与移动端应用。

2.网络基础设施：路由器（CiscoISR4000系列）、防火墙（FortiGate600E）及负载均衡设备。

3.物联网终端设备：智能摄像头（HikvisionDS-2CD2143G0）、工业传感器（SiemensSITRANSTH400）。

4.云服务平台：AWSEC2实例配置、AzureBlob存储权限策略及容器化应用（Docker/Kubernetes）。

5.工业控制系统：SCADA系统（WonderwareInTouch）、PLC控制器（Allen-BradleyControlLogix）。

检测方法

1.ASTME2923-16：基于渗透测试框架的系统脆弱性评估方法。

2.ISO/IEC27034-1：应用安全生命周期管理规范。

3.GB/T30276-2020：网络安全漏洞管理技术要求。

4.GB/T36627-2018：工业控制系统安全防护测试指南。

5.OWASPTestingGuidev4：Web应用安全测试流程与案例库。

检测设备

1.FortifyStaticCodeAnalyzer：静态代码分析工具，支持Java/C#/Python等语言的安全缺陷扫描。

2.NessusProfessional：网络漏洞扫描仪，具备CVE漏洞库实时更新与合规审计功能。

3.BurpSuiteEnterpriseEdition：动态应用安全测试平台，集成爬虫与自动化攻击模块。

4.MetasploitPro：渗透测试框架，提供模块化攻击载荷与漏洞利用验证。

5.Wireshark4.0.8：网络协议分析仪，支持TCP/UDP/HTTP流量深度解析。

6.Acunetix360：全栈Web应用扫描器，覆盖SPA框架与RESTAPI接口测试。

7.QualysCloudPlatform：云端资产漏洞管理系统，支持全球节点分布式扫描。

8.CheckmarxCxSAST：交互式应用安全测试工具（IAST），实现运行时缺陷追踪。

北检(北京)检测技术研究院【简称：北检院】

报告：可出具第三方检测报告(电子版/纸质版)。

检测周期：7~15工作日，可加急。

资质：旗下实验室可出具CMA/CNAS资质报告。

标准测试：严格按国标/行标/企标/国际标准检测。

非标测试：支持定制化试验方案。

售后：报告终身可查，工程师1v1服务。

　　以上是与安全漏洞检测相关的简单介绍，具体试验/检测周期、检测方法和仪器选择会根据具体的检测要求和标准而有所不同。北检研究院将根据客户需求合理的制定试验方案。