服務(wù)介紹
APP安全測試是由正達(dá)科技安全專家針對移動客戶端(Android、iOS)和對應(yīng)服務(wù)器端提供的安全測試業(yè)務(wù)。利用專業(yè)安全測試工具和安全專家經(jīng)驗(yàn)對APP應(yīng)用的后臺服務(wù)器、業(yè)務(wù)接口以及客戶端本身進(jìn)行非破壞性質(zhì)的模擬黑客攻擊,發(fā)現(xiàn)其存在的安全風(fēng)險(xiǎn),發(fā)現(xiàn)移動應(yīng)用客戶端和服務(wù)器端中存在的技術(shù)層面、業(yè)務(wù)層面的安全問題,并給出專業(yè)修復(fù)建議,指導(dǎo)開發(fā)人員進(jìn)行問題修復(fù),保障業(yè)務(wù)的穩(wěn)定,持續(xù)運(yùn)行。
正達(dá)科技移動APP安全測試服務(wù)分別從客戶端和服務(wù)端進(jìn)行安全測試,檢測項(xiàng)近150項(xiàng)。
檢測方法
正達(dá)科技移動APP安全測試采用自動化工具+人工的方式進(jìn)行,對移動APP分別進(jìn)行客戶端工具掃描、客戶端靜態(tài)分析、客戶端動態(tài)分析、APP所依賴的后臺服務(wù)器及API接口進(jìn)行滲透測試,并依托正達(dá)科技后端豐富的安全知識庫,確保及時檢測業(yè)界新出現(xiàn)的風(fēng)險(xiǎn)漏洞,保障測試內(nèi)容全覆蓋。
客戶端工具掃描
使用自動化檢測工具,支持組件風(fēng)險(xiǎn)檢測、進(jìn)程注入、數(shù)據(jù)審核、界面劫持等風(fēng)險(xiǎn)類別的自動化測試。提升工作效率的同時,還可以減少因人為因素引起的錯誤,提升測試結(jié)果準(zhǔn)確性。
客戶端靜態(tài)分析
靜態(tài)分析通過工具反編譯移動客戶端,并采用人工的方式對移動客戶端的配置文件及源碼進(jìn)行深入分析,可以快速發(fā)現(xiàn)如程序數(shù)據(jù)任意備份、程序可被任意調(diào)試、遠(yuǎn)程代碼執(zhí)行、中間人攻擊等漏洞。除此之外,實(shí)時與內(nèi)建的安全知識庫關(guān)聯(lián),確保測試過程始終覆蓋新出現(xiàn)的安全威脅。
客戶端動態(tài)分析
動態(tài)分析通過執(zhí)行APP的安裝、運(yùn)行、執(zhí)行自動化腳本等操作,借助工具記錄測試對象的行為。如網(wǎng)絡(luò)通信、文件讀寫、進(jìn)程操作等。通過對實(shí)際行為的分析檢測軟件是否可能存在中間人攻擊、進(jìn)程注入、敏感信息泄露等安全漏洞。同靜態(tài)分析一樣,動態(tài)分析同樣會關(guān)聯(lián)內(nèi)建的安全知識庫,確保覆蓋業(yè)界新出現(xiàn)的安全威脅。動態(tài)分析與靜態(tài)分析相比,可覆蓋部分通過靜態(tài)分析無法發(fā)現(xiàn)的安全問題。
服務(wù)端滲透測試
使用滲透測試方法對APP所依賴的后臺服務(wù)器進(jìn)行安全檢查。通過模擬惡意黑客的方法進(jìn)行攻擊,來評估APP后臺服務(wù)器的安全狀況。這個過程包括對系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動分析并加以利用,主要涉及服務(wù)端API接口安全、業(yè)務(wù)邏輯安全、中間件安全以及服務(wù)器安全。著重關(guān)注與服務(wù)器交互的接口安全以及服務(wù)器自身的邊界安全。
服務(wù)優(yōu)勢
測試用例豐富
測試用例齊全,涵蓋客戶端程序安全、進(jìn)程安全、組件安全、敏感信息安全、網(wǎng)絡(luò)通信安全、策略安全、惡意攻擊防范、應(yīng)用規(guī)范安全等方面,共計(jì)百余項(xiàng)測試用例,測試用例超過行業(yè)平均數(shù)30%。
豐富的安全漏洞知識庫
APP評估團(tuán)隊(duì)由經(jīng)驗(yàn)豐富的安全專家組成,在移動安全領(lǐng)域具有深厚的積累,所掌握的安全技術(shù)、大數(shù)據(jù)分析能力、安全人才數(shù)量和質(zhì)量、安全研發(fā)實(shí)力、安全事件的研究能力,均在全球名列前茅,依托正達(dá)科技豐富的安全研究能力以及補(bǔ)天平臺的漏洞庫,可協(xié)助企業(yè)第一時間全面發(fā)現(xiàn)移動APP技術(shù)和業(yè)務(wù)層面的安全問題,降低移動APP安全風(fēng)險(xiǎn)。
標(biāo)準(zhǔn)化工具
基于定制化測試終端和工具,修改底層接口,能夠更直接、更準(zhǔn)確的檢測代碼層面的風(fēng)險(xiǎn)。為定制化終端開發(fā)的流水線式自動化配套工具,保證檢測過程準(zhǔn)確無誤,不出現(xiàn)誤測等情況。精心編寫的自動化測試用例和工具,覆蓋各個攻擊面,保障整個測試過程無死角,不出現(xiàn)誤測、漏測。
定制化專屬服務(wù)
基于客戶具體的業(yè)務(wù)場景,對移動應(yīng)用的各類風(fēng)險(xiǎn)進(jìn)行評級,方便客戶有主次、有緩急的制訂安全修復(fù)計(jì)劃。針對不同客戶開發(fā)團(tuán)隊(duì)的技術(shù)特點(diǎn),針對性的提供詳細(xì)的、可操作性的修復(fù)方案以及一對一培訓(xùn)指導(dǎo)服務(wù),確??蛻羟宄私怙L(fēng)險(xiǎn)原因,并輔助客戶進(jìn)行風(fēng)險(xiǎn)修復(fù)。
客戶價值
? 全面掌握移動APP各類風(fēng)險(xiǎn);
? 獲得建設(shè)性的APP安全解決方案;
? 提升移動APP多層面的安全性;
? 降低安全漏洞風(fēng)險(xiǎn),規(guī)避各類損失;
? 使產(chǎn)品符合國家以及行業(yè)監(jiān)管要求;
? 提升開發(fā)人員和測試人員安全意識。
手機(jī)網(wǎng)站 小程序