青草青永久在线

>>定義

APP滲透測試是在客戶授權、監督和不影響目標系統正常運行的情況下,工程師采用手工方式和安全檢測工具,模擬黑客的攻擊方法對目標APP的技術弱點、缺陷或漏洞進行可控的非破壞性攻擊測試,并提供滲透測試報告,使得客戶可以清晰知曉目標系統中存在的安全隱患。


APP滲透測試服務

>>服務概述

衛道APP滲透測試服務是由精通滲透測試技術的資深安全專家,在客戶授權范圍內,對客戶APP進行模擬黑客攻擊的商業化測試服務,用于幫助客戶評估信息系統當前的安全性。提供包括外網滲透測試、內網滲透測試、黑盒測試、灰盒測試等多種測試方法,從逆向破解的角度出發,多方面對移動應用的代碼、數據、密鑰、業務邏輯、系統環境等內容進行靜、動態的人工分析,以獲取應用安裝卸載過程、用戶數據輸入、存儲處理、網絡傳輸以及所處系統環境等方面的安全隱患。報告將針對分析過程中使用的滲透工具、滲透步驟、問題代碼位置、潛在風險以及問題解決方案均進行詳細的描述。目前人工滲透服務支持Android、iOS兩大平臺。

 

 

 

>>服務過程

衛道結合項目實踐將滲透測試項目分為五個階段,每階段主要目標如下:

1) 溝通準備階段

通過不斷的與客戶進行溝通,確認測試的范圍、目標、授權、交互規則等并最終落實到SOW服務協議中。

2) 信息收集階段

根據項目實際情況進行必要的信息收集。

3) 脆弱性分析階段

分析客戶資產、業務流程信息,從威脅來源視角進行漏洞識別與分析得出最佳攻擊路徑。

4) 滲透執行階段

執行攻擊測試并記錄測試過程,直到達到測試目標后進行測試清理。

5) 報告階段

整理測試記錄編寫摘要報告及詳細技術報告,進行報告講解,獲取客戶認可。


>>服務內容

安全性漏洞挖掘

找出應用中存在的安全漏洞。應用檢測是對傳統安全弱點的串聯并形成路徑,最終通過路徑式的利用而達到模擬入侵的效果。發掘應用中影響業務正常運行、導致敏感信息泄露、造成現金和信譽損失的等的漏洞。

滲透修復方案

滲透測試目的是防御,故發現漏洞后,修復是關鍵。 安全專家針對漏洞產生的原因進行分析,提出修復建議,以防御惡意攻擊者的攻擊。


回歸測試

漏洞修復后,對修復方案和結果進行有效性評估,分析修復方案的有損打擊和誤打擊風險,驗證漏洞修復結果。匯總漏洞修復方案評估結果,標注漏洞修復結果,更新并發送測試報告。

>>服務對象

安卓應用

對客戶端、組件、本地數據、敏感信息、業務等檢測項目進行安全檢測

IOS應用

對客戶端、策略、通信、敏感信息、業務等 33 個檢測項目進行

微信服務號

對客戶端、組件、本地數據、敏感信息、業務等 64 個檢測項目進行安全檢測

微信小程序

根據小程序的開發特性,在SQL注入、越權訪問、文件上傳、CSRF以及個人信息泄露等漏洞進行檢測,防護衍生的重大危害。