滲透測試服務，是甲方授權乙方安全公司對自身的網站，以及APP,辦公系統進行的全面人工安全滲透，對漏洞的檢測與測試，包括SQL注入漏洞,XSS存儲漏洞，反射漏洞，邏輯漏洞，越權漏洞，我們SINE安全公司在進行滲透測試前，是需要甲方公司的授權才能進行，沒有授權的滲透以及網站漏洞測試在法律上來講是違法的，非法滲透帶來的一切責任與后果，要自行承擔，需要滲透測試服務的一定要找正規的安全公司來做，以防上當。前段時間我們SINE安全公司，收到甲方公司的滲透測試ORDER,對公司使用的OA辦公系統進行全面的安全檢測，與漏洞測試，針對前期我們做的一些準備，與測試內容，我們來詳細跟大家分享一下滲透測試的過程。

很多中小型企業都有自身的OA辦公系統，為了員工辦公，審批流程，工作簡化，OA系統在整個公司里起到了重要的扭曲作用，大大的減少了公司運營成本，溝通時間成本，促進員工更高效的工作，在使用的過程中也帶來了很多安全的隱患，在對OA辦公系統進行滲透測試服務的時候，我們要從以下幾個方面進行安全測試：

在滲透測試之前我們第一要明白，了解在客戶的公司內部網絡中，都有使用那些辦公系統，是使用的第三方公司開發的辦公系統，還是自己工程師單獨研發的，如果是自行開發的，那漏洞會很容易的測試出來，第三方公司開發的相對來說漏洞沒有那么多，需要時間與精力去進行詳細的測試，才能發現漏洞。公司里使用的郵件系統一般來說使用QQ企業郵箱，gmial郵箱，163郵箱，微軟的exchange郵箱使用的最多。

OA辦公系統，用友，致遠OA系統都存在遠程代碼執行漏洞，客戶目前使用的致遠OA，目前大多數的企業都在使用的一套OA系統，我們來看下這個漏洞：通過遠程代碼執行可以直接調用CMD命令，對當前的網站服務器進行查看，執行管理員權限的命令，危害較高，可以直接獲取服務器的管理權限，并對OA系統的數據進行查詢，修改，資料可能會導致泄露。

該公司的企業OA辦公系統主要是以網站為主，人才系統，權限系統，以及部門管理后臺，業務流程管理，CRM，業績考核，訂單系統，售后系統，都以網站為基礎構建，網站也對外開放，任何員工以及在任何地方，出差，手機上都可以隨時的辦公，在方便的同時，安全也面臨著嚴重的考驗，我們SINE安全技術對整個辦公系統滲透測試發現，存在太多的漏洞，像XSS存儲漏洞，越權漏洞，在流程管理，方案提交功能上我們發現一處重要的越權漏洞，代碼如下：

可以直接越權對方案進行控制，同意以及撤銷方案，查看其他人提交的方案，都是越權進行操作，在正常的操作下是不允許的。還有一個未授權訪問的漏洞，可以看到很多管理員權限下的內容如下圖：

甲方公司使用的VPN是思科的，對VPN賬號密碼進行暴力破解的時候，有些賬號存在弱口令，被直接猜解到，建議甲方公司加強密碼的保護，使其密碼的強度在10位以上，數字加字母加大小寫組合，以上就是對客戶OA系統進行的滲透測試，大體就是以上幾個方面進行的安全滲透，包括OA系統，以及郵件系統。如果您對自身網站以及系統的安全不放心的話，建議找專業的安全公司來做滲透測試服務，國內SINE安全，深信服，綠盟都是比較有名的安全公司，檢查網站是否存在漏洞，以及安全隱患，別等業務發展起來，規模大的時候再考慮做滲透測試，那將來出現漏洞，帶來的損失也是無法估量的，網站在上線前要提前做滲透測試服務，提前找到漏洞，修復漏洞，促使網站平臺安全穩定的運行。