服务简介
APP安全测试是针对移动客户端(Android、iOS)和对应服务器端提供的安全测试业务。利用专业安全测试工具对APP应用的后台服务器、业务接口以及客户端本身进行非破坏性质的模拟黑客攻击,发现其存在的安全风险,发现移动应用客户端和服务器端中存在的技术层面、业务层面的安全问题,并给出专业修复建议,指导开发人员进行问题修复,保障业务的稳定,持续运行。
-
取证入侵事件
-
回溯攻击过程
-
挖掘攻击详情
服务优势
定制化专属服务
基于客户具体的业务场景,对移动应用的各类风险进行评级,方便客户有主次、有缓急的制订安全修复计划。针对不同客户开发团队的技术特点,针对性的提供详细的、可操作性的修复方案以及一对一培训指导服务,确保客户清楚了解风险原因,并辅助客户进行风险修复。
丰富的安全漏洞知识库
APP评估团队由经验丰富的安全专家组成,在移动安全领域具有深厚的积累,所掌握的安全技术、大数据分析能力、安全人才数量和质量、安全研发实力、安全事件的研究能力,可协助企业第一时间全面发现移动APP技术和业务层面的安全问题。
标准化工具
基于定制化测试终端和工具,修改底层接口,能够更直接、更准确的检测代码层面的风险。为定制化终端开发的流水线式自动化配套工具,保证检测过程准确无误,不出现误测等情况。精心编写的自动化测试用例和工具,覆盖各个攻击面,保障整个测试过程无死角,不出现误测、漏测。
测试用例丰富
测试用例齐全,涵盖客户端程序安全、进程安全、组件安全、敏感信息安全、网络通信安全、策略安全、恶意攻击防范、应用规范安全等方面,共计百余项测试用例,测试用例超过行业平均数30%。
服务内容
-
客户端工具扫描
使用自动化检测工具,支持组件风险检测、进程注入、数据审核、界面劫持等风险类别的自动化测试。提升工作效率的同时,还可以减少因人为因素引起的错误,提升测试结果准确性。
-
客户端静态分析
静态分析通过工具反编译移动客户端,并采用人工的方式对移动客户端的配置文件及源码进行深入分析,可以快速发现如程序数据任意备份、程序可被任意调试、远程代码执行、中间人攻击等漏洞。
-
客户端动态分析
动态分析通过执行APP的安装、运行、执行自动化脚本等操作,借助工具记录测试对象的行为。通过对实际行为的分析检测软件是否可能存在中间人攻击、进程注入、敏感信息泄露等安全漏洞。同静态分析一样,动态分析同样会关联内建的安全知识库,确保覆盖业界新出现的安全威胁。动态分析与静态分析相比,可覆盖部分通过静态分析无法发现的安全问题。
-
服务端渗透测试
通过模拟恶意黑客的方法进行攻击,来评估APP后台服务器的安全状况。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析并加以利用,主要涉及服务端API接口安全、业务逻辑安全、中间件安全以及服务器安全。
客户价值
-
提升开发人员和测试人员安全意识。
-
提升移动APP多层面的安全性。
-
获得建设性的APP安全解决方案。
-
使产品符合国家以及行业监管要求。
-
全面掌握移动APP各类风险。
-
使产品符合国家以及行业监管要求。
