服務(wù)介紹

APP安全測試是由正達(dá)科技安全專家針對移動客戶端（Android、iOS）和對應(yīng)服務(wù)器端提供的安全測試業(yè)務(wù)。利用專業(yè)安全測試工具和安全專家經(jīng)驗(yàn)對APP應(yīng)用的后臺服務(wù)器、業(yè)務(wù)接口以及客戶端本身進(jìn)行非破壞性質(zhì)的模擬黑客攻擊，發(fā)現(xiàn)其存在的安全風(fēng)險(xiǎn)，發(fā)現(xiàn)移動應(yīng)用客戶端和服務(wù)器端中存在的技術(shù)層面、業(yè)務(wù)層面的安全問題，并給出專業(yè)修復(fù)建議，指導(dǎo)開發(fā)人員進(jìn)行問題修復(fù)，保障業(yè)務(wù)的穩(wěn)定，持續(xù)運(yùn)行。

正達(dá)科技移動APP安全測試服務(wù)分別從客戶端和服務(wù)端進(jìn)行安全測試，檢測項(xiàng)近150項(xiàng)。

檢測方法

正達(dá)科技移動APP安全測試采用自動化工具+人工的方式進(jìn)行，對移動APP分別進(jìn)行客戶端工具掃描、客戶端靜態(tài)分析、客戶端動態(tài)分析、APP所依賴的后臺服務(wù)器及API接口進(jìn)行滲透測試，并依托正達(dá)科技后端豐富的安全知識庫，確保及時檢測業(yè)界新出現(xiàn)的風(fēng)險(xiǎn)漏洞，保障測試內(nèi)容全覆蓋。

客戶端工具掃描

使用自動化檢測工具，支持組件風(fēng)險(xiǎn)檢測、進(jìn)程注入、數(shù)據(jù)審核、界面劫持等風(fēng)險(xiǎn)類別的自動化測試。提升工作效率的同時，還可以減少因人為因素引起的錯誤，提升測試結(jié)果準(zhǔn)確性。

客戶端靜態(tài)分析

靜態(tài)分析通過工具反編譯移動客戶端，并采用人工的方式對移動客戶端的配置文件及源碼進(jìn)行深入分析，可以快速發(fā)現(xiàn)如程序數(shù)據(jù)任意備份、程序可被任意調(diào)試、遠(yuǎn)程代碼執(zhí)行、中間人攻擊等漏洞。除此之外，實(shí)時與內(nèi)建的安全知識庫關(guān)聯(lián)，確保測試過程始終覆蓋新出現(xiàn)的安全威脅。

客戶端動態(tài)分析

動態(tài)分析通過執(zhí)行APP的安裝、運(yùn)行、執(zhí)行自動化腳本等操作，借助工具記錄測試對象的行為。如網(wǎng)絡(luò)通信、文件讀寫、進(jìn)程操作等。通過對實(shí)際行為的分析檢測軟件是否可能存在中間人攻擊、進(jìn)程注入、敏感信息泄露等安全漏洞。同靜態(tài)分析一樣，動態(tài)分析同樣會關(guān)聯(lián)內(nèi)建的安全知識庫，確保覆蓋業(yè)界新出現(xiàn)的安全威脅。動態(tài)分析與靜態(tài)分析相比，可覆蓋部分通過靜態(tài)分析無法發(fā)現(xiàn)的安全問題。

服務(wù)端滲透測試

使用滲透測試方法對APP所依賴的后臺服務(wù)器進(jìn)行安全檢查。通過模擬惡意黑客的方法進(jìn)行攻擊，來評估APP后臺服務(wù)器的安全狀況。這個過程包括對系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動分析并加以利用，主要涉及服務(wù)端API接口安全、業(yè)務(wù)邏輯安全、中間件安全以及服務(wù)器安全。著重關(guān)注與服務(wù)器交互的接口安全以及服務(wù)器自身的邊界安全。

服務(wù)優(yōu)勢

測試用例豐富

測試用例齊全，涵蓋客戶端程序安全、進(jìn)程安全、組件安全、敏感信息安全、網(wǎng)絡(luò)通信安全、策略安全、惡意攻擊防范、應(yīng)用規(guī)范安全等方面，共計(jì)百余項(xiàng)測試用例，測試用例超過行業(yè)平均數(shù)30%。

豐富的安全漏洞知識庫

APP評估團(tuán)隊(duì)由經(jīng)驗(yàn)豐富的安全專家組成，在移動安全領(lǐng)域具有深厚的積累，所掌握的安全技術(shù)、大數(shù)據(jù)分析能力、安全人才數(shù)量和質(zhì)量、安全研發(fā)實(shí)力、安全事件的研究能力，均在全球名列前茅，依托正達(dá)科技豐富的安全研究能力以及補(bǔ)天平臺的漏洞庫，可協(xié)助企業(yè)第一時間全面發(fā)現(xiàn)移動APP技術(shù)和業(yè)務(wù)層面的安全問題，降低移動APP安全風(fēng)險(xiǎn)。

標(biāo)準(zhǔn)化工具

基于定制化測試終端和工具，修改底層接口，能夠更直接、更準(zhǔn)確的檢測代碼層面的風(fēng)險(xiǎn)。為定制化終端開發(fā)的流水線式自動化配套工具，保證檢測過程準(zhǔn)確無誤，不出現(xiàn)誤測等情況。精心編寫的自動化測試用例和工具，覆蓋各個攻擊面，保障整個測試過程無死角，不出現(xiàn)誤測、漏測。

定制化專屬服務(wù)

基于客戶具體的業(yè)務(wù)場景，對移動應(yīng)用的各類風(fēng)險(xiǎn)進(jìn)行評級，方便客戶有主次、有緩急的制訂安全修復(fù)計(jì)劃。針對不同客戶開發(fā)團(tuán)隊(duì)的技術(shù)特點(diǎn)，針對性的提供詳細(xì)的、可操作性的修復(fù)方案以及一對一培訓(xùn)指導(dǎo)服務(wù)，確?？蛻羟宄私怙L(fēng)險(xiǎn)原因，并輔助客戶進(jìn)行風(fēng)險(xiǎn)修復(fù)。  

客戶價值

? 全面掌握移動APP各類風(fēng)險(xiǎn)；

? 獲得建設(shè)性的APP安全解決方案；

? 提升移動APP多層面的安全性；

? 降低安全漏洞風(fēng)險(xiǎn)，規(guī)避各類損失；

? 使產(chǎn)品符合國家以及行業(yè)監(jiān)管要求；

? 提升開發(fā)人員和測試人員安全意識。