【正文】 洞、是否存在非授 權 提 權 漏洞。 對上述系統(tǒng)的安全測評包括但不限于以下內(nèi)容： （ 1） 滲透性測試 （ 內(nèi)部和外部 ） ； 滲透測試是由 乙方 模擬黑客攻擊時常用的技術手段對 甲方 目標系統(tǒng)發(fā)起的模擬黑客攻擊行為。 評 估目 標 系 統(tǒng) 的會 話 安全機制（如是否存在敏感信息泄露、會 話篡 改、會 話 劫持、會 話 重放等）。 評 估攻 擊 者是否可以利用 緩 沖區(qū)溢出漏洞 進 行非授 權訪問 、 獲 取控制 權 、破壞可用性等威 脅操作。未經(jīng)我行 書面 允許，不得擅自復制、 留存、 泄漏給第三方或其它無 關 人員。 客觀性：評估結果應客觀公正。 評 估方 應說 明 進 行 滲透測試 所依照的相關 評 估 標 準（包括 銀 行 規(guī)定、國內(nèi)外 標 準、相關法 規(guī) 等）、漏洞 庫 、 軟 件缺陷 庫 等。 評 估方 應 提供 項 目 經(jīng) 理和 項 目 組 成 員 的 簡歷 ， 包括個人基本信息、學歷 、工作 經(jīng)驗 、參與同 類 服 務項 目案例情況。服務供應商為 達州商業(yè)銀行 編制的所有 相關 計劃、圖紙、規(guī)范 /說明書、設計、報告、其他文件和軟件（包括源代碼和可執(zhí)行程序，無論是臨時版本、中間版本還是最終版本）都應成為并保持為 達州商業(yè)銀行 的財產(chǎn)， 達州 市 商業(yè)銀行 享有全部的知識產(chǎn)權和專利權，而且供應商最遲不能超過合同終止或期滿時將附有詳細文件清單的全部文件和軟件 交付 達州 市 商業(yè)銀行 。 乙方需要 在投標材料中 ，對 使用工具進行 介紹 。 評 估攻 擊 者是否利用不安全的 轉發(fā)繞過訪問 控制。 評 估目 標 系 統(tǒng) 的授 權 機制是否存在漏洞。 滲透測試服務的目的在于充分挖掘和暴露系統(tǒng)的弱點，從而讓管理人員了解其系統(tǒng)所面臨的威脅。 評 估攻 擊 者是否可 以假冒受害客戶端 執(zhí) 行操作。 評 估目 標 系 統(tǒng) 的抗拒 絕 服 務 攻 擊 的能力和 強 度。未經(jīng)本行書面許可不得將本項目相關信息泄露給任何第三方或其它無關人員。 真實性：真實記錄和反映 我行信息 系統(tǒng)實際情況。 評 估方 應說 明 進 行 滲透測試 所采用的工具，如商 業(yè)評 估工具、開源 評 估工具、自開 發(fā) 工具 /腳本、源代碼 安全 測試 工具等。 評 估方在服 務實 施方案中必 須標 注 實 施人 員為現(xiàn)場 服 務 人 員還是后臺支持人 員