一.渗透测试服务通常包含以下具体测试项目：

1.网络渗透测试

外部网络测试：模拟外部攻击者，从互联网对目标网络的边界设备、服务器等进行攻击测试，检查防火墙策略、路由器配置等是否存在漏洞，如是否存在可被利用的开放端口、弱密码等。

内部网络测试：在获得授权后，模拟内部人员或已突破外部防线的攻击者，对内部网络进行测试，检测内部网络的访问控制、网络分段、系统漏洞等，例如是否存在可通过内部网络传播的恶意软件漏洞。

2.应用程序渗透测试

Web 应用测试：针对网站、Web 服务等进行测试，检测常见的漏洞如 SQL 注入、跨站脚本攻击（XSS）、文件包含漏洞、越权访问、错误配置等。比如通过构造特殊的 SQL 语句尝试获取数据库中的敏感信息。

移动应用测试：对手机应用程序进行测试，包括安卓和 iOS 应用，检测漏洞如代码注入、数据泄露、不安全的通信、认证和授权漏洞等。例如检查应用是否对传输的数据进行加密，防止中间人攻击。

API 测试：测试应用程序编程接口，检查是否存在未授权访问、参数篡改、敏感信息泄露等漏洞，确保 API 的安全性和可靠性。

3.数据库渗透测试：检查数据库的访问控制、身份验证机制是否健全，是否存在可被利用的漏洞，如弱密码、SQL 注入漏洞、权限滥用等，防止攻击者获取、篡改或破坏数据库中的敏感数据。

4.无线局域网渗透测试：针对无线网络进行测试，检测无线接入点的安全性，如是否存在弱加密方式、可被破解的无线密码、非法接入点等，防止攻击者通过无线网络入侵内部网络。

5.物理安全渗透测试：对物理设施进行评估，包括办公室、数据中心等场所的门禁系统、监控系统、机房安全等，检查是否存在容易被攻击者突破的物理防线，如未授权人员可轻易进入机房。

二.可以提供渗透测试服务的机构有以下几类：

1.专业的软件测试服务公司：如一航软件测评机构，具备 CMA、CNAS 双重检测资质，专注软件测评服务多年，测试团队专业，可在全国范围内提供各种测试类型服务，能出具公正客观的第三方软件测试报告。

2.国家认可的质检机构：例如中国软件评测中心，作为国家级软件评测机构，权威性和公信力高，测试标准严格遵循国家相关规范和行业标准，出具的报告在国内认可度高，适用于对报告权威性要求高的项目，如政府项目或大型企业关键业务系统。

3.行业协会或联盟下属的测试机构：一些行业协会设立的专门测试机构，为会员单位或行业内企业提供测试服务。它们对行业特点和技术规范了解深入，测试结果能反映行业内的标准和要求。比如中国互联网协会下属的相关测试机构，对互联网行业的 WEB 软件项目测试具有专业性和针对性。

4.高校或科研机构的测试实验室：部分高校计算机相关专业或科研机构设有测试实验室，有专业测试设备和研究人员，在某些特定领域的测试研究方面有优势，如新兴技术在 WEB 软件中的应用测试等。与高校或科研机构合作，还可能获得前沿测试技术和研究成果支持。

5.网络安全企业的检测部门：像启明星辰、绿盟科技等知名网络安全企业。它们有专业的安全研究团队和技术实力，不仅能进行 Web 渗透测试，还能在网络安全的多个领域提供专业服务和解决方案，其出具的报告在行业内也具有较高的认可度。

展开全文

一航软件测试能做渗透测试服务。

一航软件测评中心具备 CMA、CNAS、CCRC 三重资质认证，是国家授权的独立第三方软件测评实验室1。其提供的信息安全测试服务中包含渗透测试，具体测试流程如下4：返回搜狐，查看更多

准备阶段：了解客户需求，确定测试范围，收集相关信息，制定详细的测试计划和方案。

情报收集：利用各种工具和技术，全面收集目标系统的架构、软硬件配置、网络拓扑等信息，以便制定攻击策略。

漏洞扫描：使用漏洞扫描工具对目标系统进行扫描，查找潜在的安全漏洞和弱点，为后续攻击提供依据。

模拟攻击：模拟黑客攻击，利用已知漏洞、社工手段等，尝试获取系统的敏感信息或控制权。

后门检测：对目标系统进行后门检测，及时发现潜在的安全风险，确保测试的完整性和有效性。

报告撰写：完成渗透测试后，撰写详细的测试报告，包括发现的问题、漏洞详情、风险等级以及建议的修复措施，帮助客户及时采取安全措施