APP安全檢測 滲透測試APP服務介紹與過程

網站安全發表於2019-08-19

客戶網站以及APP在正式上線之前,都會找專業的安全公司進行滲透測試,檢測網站、APP是否存在漏洞,以及一些安全隱患,大多數的運營者覺得安裝一些安全防護軟體就足以防止攻擊了,越這樣,網站APP越容易受到篡改資料,以及攻擊等情況時而發生,近幾年移動網際網路的快速發展,APP應用,網站也越來越多,受到的攻擊成幾何的增長,有很多客戶找到我們SINE安全來進行滲透測試服務,那如何透過滲透測試解決網站APP現有的攻擊問題呢,首先我們要了解,什麼是滲透測試?

APP安全檢測 滲透測試APP服務介紹與過程

滲透測試是對網站、APP應用(android,ios)進行全面的安全檢測與漏洞掃描,模擬攻擊者的手法,切近實戰,人工檢查網站APP存在的漏洞,最後評估生成安全報告,簡單來概括也叫黑箱測試,在沒有客戶提供的網站原始碼以及伺服器管理員許可權的情況下,從普通的使用者訪問對網站進行測試。我們SINE安全在對客戶網站、APP進行滲透測試之前,都需要獲取客戶的安全授權,再一個確認客戶的網站是否是客戶的,驗證所有權,再授權我們進行安全滲透,安全授權相當於甲方公司同意對乙方對旗下的網站域名,以及APP進行遠端的黑箱,白箱的滲透測試,雙方公司蓋章,電子籤或快遞籤,開始安全服務。

滲透測試的範圍與服務內容都有哪些?

分多個層面進行,網站方面,APP方面,我們從網站來說,大體滲透的範圍,對網站的漏洞進行檢測,包括SQL隱碼攻擊漏洞,get,post,cookies注入漏洞,延遲注入檢測,盲注檢測,XSS跨站漏洞檢測,分反射XSS,持續性XSS,儲存性XSS檢測,CSRF漏洞,邏輯漏洞,垂直,平行越權漏洞,檔案上傳截斷繞過漏洞,目錄遍歷漏洞,URL地址跳轉漏洞,程式碼遠端執行漏洞,資料庫漏洞,賬號弱密碼漏洞掃描,任意檔案下載漏洞,API介面漏洞檢測。

APP安全檢測 滲透測試APP服務介紹與過程

APP滲透測試方面包含APP反編譯安全測試,APP脫殼漏洞,APP二次打包植入後門漏洞,APP程式安全檢測,APP appi介面的漏洞檢測,任意賬戶註冊漏洞,簡訊驗證碼盜刷,簽名效驗漏洞,APP加密/簽名破解,APP逆向,SO程式碼函式漏洞,JAVA層動態除錯漏洞,程式碼注入,HOOK攻擊檢測,記憶體DUMP漏洞,AES解密測試,反除錯漏洞,還有APP功能上邏輯漏洞,越權漏洞,平行垂直,獲取任意賬戶的資訊,弱口令漏洞,暴力破解漏洞,JAVA漏洞檢查,敏感資訊洩露等等。

APP安全檢測 滲透測試APP服務介紹與過程

根據SINE安全團隊十年的滲透測試經驗得出,在對客戶網站進行測試前,收集客戶網站資訊以及資料,整理的越多越好,有利於更深入的瞭解客戶,只有真正的瞭解了自己,才能知彼知己百戰不殆,透過收集的資料,人工+軟體輔助的方式對漏洞進行檢測,透過發現出來的漏洞以及測試經驗進行更進一步的漏洞深挖。最後對滲透測試出的漏洞,以及漏洞修復方案,安全方面建議,整理成詳細的安全部署報告,交由甲方公司,對整體的滲透測試內容進行描述,檢測出來的漏洞分高中低,漏洞名稱,漏洞詳情,漏洞利用方式,以及如何才能修復好漏洞,都會在報告中詳細的寫出,這樣才是完整的滲透測試服務,找出漏洞所在,解決客戶的後顧之憂。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2654090/,如需轉載,請註明出處,否則將追究法律責任。

相關文章