寻找合适的渗透测试厂商,麻烦推荐

需求:对4个逻辑类同站点做渗透测试
预算:5000
内容:
我方提供服务器做渗透测试部署,需要重点关注以下:
1、漏洞类型或风险项,参考 OWASP Top 10 或国内外相关安全标准。
1)注入类漏洞:SQL 注入、NoSQL 注入、LDAP 注入、命令注入等。
2)身份验证与会话管理:弱口令、默认口令、会话管理漏洞、JWT Token 漏洞等。
3)访问控制不当:水平越权、垂直越权、重要接口未做权限校验。
4)跨站脚本漏洞(XSS):反射型、存储型、DOM 型。
5)跨站请求伪造(CSRF):关键操作未做有效防护,令牌校验机制缺失。。
6)安全配置缺失:不安全的 HTTP Header 设置(如 HSTS、CSP、X-Frame-Options 等配置缺失),敏感信息未加密传输。
7)使用存在已知漏洞的组件:框架、库、插件或第三方服务存在安全漏洞。
8)日志与监控:日志记录不完整、未对敏感操作进行审计或报警。
9)业务逻辑漏洞:业务流程中的安全薄弱点,如订单金额篡改、优惠券滥用、支付流程绕过等。

2、需支持基础漏洞扫描
弱口令扫描、安全漏洞扫描、漏洞自动化巡检、基线检测及CVE漏洞扫描

3、黑盒必须要做,白盒暂时看报价定

4、四个站点均为逻辑一致的马甲站,可以采用发邮件给全公司做渗透数据统计

已解决了