渗透测试服务，是甲方授权乙方安全公司对自身的网站，以及APP,办公系统进行的全面人工安全渗透，对漏洞的检测与测试，包括SQL注入漏洞,XSS存储漏洞，反射漏洞，逻辑漏洞，越权漏洞，我们SINE安全公司在进行渗透测试前，是需要甲方公司的授权才能进行，没有授权的渗透以及网站漏洞测试在法律上来讲是违法的，非法渗透带来的一切责任与后果，要自行承担，需要渗透测试服务的一定要找正规的安全公司来做，以防上当。前段时间我们SINE安全公司，收到甲方公司的渗透测试ORDER,对公司使用的OA办公系统进行全面的安全检测，与漏洞测试，针对前期我们做的一些准备，与测试内容，我们来详细跟大家分享一下渗透测试的过程。

很多中小型企业都有自身的OA办公系统，为了员工办公，审批流程，工作简化，OA系统在整个公司里起到了重要的扭曲作用，大大的减少了公司运营成本，沟通时间成本，促进员工更高效的工作，在使用的过程中也带来了很多安全的隐患，在对OA办公系统进行渗透测试服务的时候，我们要从以下几个方面进行安全测试：

在渗透测试之前我们第一要明白，了解在客户的公司内部网络中，都有使用那些办公系统，是使用的第三方公司开发的办公系统，还是自己工程师单独研发的，如果是自行开发的，那漏洞会很容易的测试出来，第三方公司开发的相对来说漏洞没有那么多，需要时间与精力去进行详细的测试，才能发现漏洞。公司里使用的邮件系统一般来说使用QQ企业邮箱，gmial邮箱，163邮箱，微软的exchange邮箱使用的最多。

OA办公系统，用友，致远OA系统都存在远程代码执行漏洞，客户目前使用的致远OA，目前大多数的企业都在使用的一套OA系统，我们来看下这个漏洞：通过远程代码执行可以直接调用CMD命令，对当前的网站服务器进行查看，执行管理员权限的命令，危害较高，可以直接获取服务器的管理权限，并对OA系统的数据进行查询，修改，资料可能会导致泄露。

该公司的企业OA办公系统主要是以网站为主，人才系统，权限系统，以及部门管理后台，业务流程管理，CRM，业绩考核，订单系统，售后系统，都以网站为基础构建，网站也对外开放，任何员工以及在任何地方，出差，手机上都可以随时的办公，在方便的同时，安全也面临着严重的考验，我们SINE安全技术对整个办公系统渗透测试发现，存在太多的漏洞，像XSS存储漏洞，越权漏洞，在流程管理，方案提交功能上我们发现一处重要的越权漏洞，代码如下：

可以直接越权对方案进行控制，同意以及撤销方案，查看其他人提交的方案，都是越权进行操作，在正常的操作下是不允许的。还有一个未授权访问的漏洞，可以看到很多管理员权限下的内容如下图：

甲方公司使用的VPN是思科的，对VPN账号密码进行暴力破解的时候，有些账号存在弱口令，被直接猜解到，建议甲方公司加强密码的保护，使其密码的强度在10位以上，数字加字母加大小写组合，以上就是对客户OA系统进行的渗透测试，大体就是以上几个方面进行的安全渗透，包括OA系统，以及邮件系统。如果您对自身网站以及系统的安全不放心的话，建议找专业的安全公司来做渗透测试服务，国内SINE安全，深信服，绿盟都是比较有名的安全公司，检查网站是否存在漏洞，以及安全隐患，别等业务发展起来，规模大的时候再考虑做渗透测试，那将来出现漏洞，带来的损失也是无法估量的，网站在上线前要提前做渗透测试服务，提前找到漏洞，修复漏洞，促使网站平台安全稳定的运行。