某国有大银行众测

某国有大银行综合，召集若干团队开展安全众测活动，旨在对其全国范围内各分支机构及总行的核心金融系统、二类辅助系统等开展深度渗透安全众测，发现漏洞，并提供修复建议和安全指导。
1、通过互联网进行深度信息侦查，发现互联网暴漏的大量资产
2、深度模糊测试和Api接口探测，发现大量未授权Api接口，获取海量高价值数据
3、基于密码攻防获取JWT Token敏感信息，利用泄露的敏感信息获取核心一类金融系统管理员权限
4、存在任意文件下载漏洞，可以读取大量银行内部敏感文件
5、钓鱼攻击开展，直接获取银行职员办公电脑权限，并跳转进入银行大数据平台

1、项目以团队形式构建，项目组人员分工明确，负责侦查、打点、渗透、取证等一系列工作，最终形成渗透测试报告，并提供整改咨询建议。
2、自研Api定向侦查及自动化渗透工具，对于安全防护要求极高的系统，也会精细到Api层面进行针对性逻辑测试、密码攻防测试等，效率极高！