>>定义

APP渗透测试是在客户授权、监督和不影响目标系统正常运行的情况下,工程师采用手工方式和安全检测工具,模拟黑客的攻击方法对目标APP的技术弱点、缺陷或漏洞进行可控的非破坏性攻击测试,并提供渗透测试报告,使得客户可以清晰知晓目标系统中存在的安全隐患。


APP渗透测试服务

>>服务概述

卫道APP渗透测试服务是由精通渗透测试技术的资深安全专家,在客户授权范围内,对客户APP进行模拟黑客攻击的商业化测试服务,用于帮助客户评估信息系统当前的安全性。提供包括外网渗透测试、内网渗透测试、黑盒测试、灰盒测试等多种测试方法,从逆向破解的角度出发,多方面对移动应用的代码、数据、密钥、业务逻辑、系统环境等内容进行静、动态的人工分析,以获取应用安装卸载过程、用户数据输入、存储处理、网络传输以及所处系统环境等方面的安全隐患。报告将针对分析过程中使用的渗透工具、渗透步骤、问题代码位置、潜在风险以及问题解决方案均进行详细的描述。目前人工渗透服务支持Android、iOS两大平台。

 

 

 

>>服务过程

卫道结合项目实践将渗透测试项目分为五个阶段,每阶段主要目标如下:

1) 沟通准备阶段

通过不断的与客户进行沟通,确认测试的范围、目标、授权、交互规则等并最终落实到SOW服务协议中。

2) 信息收集阶段

根据项目实际情况进行必要的信息收集。

3) 脆弱性分析阶段

分析客户资产、业务流程信息,从威胁来源视角进行漏洞识别与分析得出最佳攻击路径。

4) 渗透执行阶段

执行攻击测试并记录测试过程,直到达到测试目标后进行测试清理。

5) 报告阶段

整理测试记录编写摘要报告及详细技术报告,进行报告讲解,获取客户认可。


>>服务内容

Ø 安全性漏洞挖掘

找出应用中存在的安全漏洞。应用检测是对传统安全弱点的串联并形成路径,最终通过路径式的利用而达到模拟入侵的效果。发掘应用中影响业务正常运行、导致敏感信息泄露、造成现金和信誉损失的等的漏洞。

Ø 渗透修复方案

渗透测试目的是防御,故发现漏洞后,修复是关键。 安全专家针对漏洞产生的原因进行分析,提出修复建议,以防御恶意攻击者的攻击。


Ø 回归测试

漏洞修复后,对修复方案和结果进行有效性评估,分析修复方案的有损打击和误打击风险,验证漏洞修复结果。汇总漏洞修复方案评估结果,标注漏洞修复结果,更新并发送测试报告。

>>服务对象

安卓应用

对客户端、组件、本地数据、敏感信息、业务等检测项目进行安全检测

IOS应用

对客户端、策略、通信、敏感信息、业务等 33 个检测项目进行

微信服务号

对客户端、组件、本地数据、敏感信息、业务等 64 个检测项目进行安全检测

微信小程序

根据小程序的开发特性,在SQL注入、越权访问、文件上传、CSRF以及个人信息泄露等漏洞进行检测,防护衍生的重大危害。


本网站由阿里云提供云计算及安全服务