滲透測試服務

通過自動化安全掃描和人工滲透測試對移動應用進行多方面檢測，并挖掘出系統源碼中可能存在的安全風險、漏洞等問題，幫助企業了解并提高其應用開發程序的安全性，有效預防可能存在的安全風險。

服務內容

1.模擬黑客手段

滲透工程師會模擬黑客使用的漏洞發現技術和攻擊手段，找到系統比較脆弱的環節。

2.深度安全檢測

發現可以利用的漏洞后，對系統進行更深入的訪問和更深層次的安全檢查。

3.解決安全風險

然后出具較為完整的測試報告，包含漏洞的風險描述、復現方法以及修復建議，直觀的理解并解決系統面臨的安全風險。

場景/范圍

1.android/ios應用

2.web應用

3.微信公眾號/微信小程序

服務流程

前期交互 - 搜集情報 - 威脅建模 - 漏洞分析 - 滲透攻擊 - 后滲透攻擊 - 報告編制

服務價值

1.定位安全風險

挖掘安全漏洞和安全風險，并串聯形成攻擊路徑，而后達到模擬入侵的效果。整個滲透過程會有效的驗證每個安全風險的真實性及其可利用程度。

2.驗證技術安全

通過滲透測試，可在技術層面定性的分析和驗證整個被測系統的安全性。

3.合法經營

《網絡安全法》規定個人信息享有被保護權。滲透測試后進行漏洞修復能有效防止信息泄露等風險，避免企業觸犯法律。

4.提升安全意識

滲透測試的結果可以作為素材進行學習，包括安全問題的原理、技術細節以及解決辦法；能夠從整體上提升企業員工的安全意識，提升企業資產的安全性。

服務優勢

1.我們的安全滲透測試服務

應用漏洞；系統漏洞；業務邏輯漏洞；權限漏洞；社工攻擊；漏洞復現；專業報告與修復建議；修復驗證。

2.普通的滲透測試服務

應用漏洞

服務標準

1.信息技術安全性評估準則

GB/T 18336-2008

2.信息系統安全等級保護實施指南

GB/T 25058-2010

3.信息系統安全等級保護基本要求

GB/T 22239-2008

4.信息系統通用安全技術要求

GB/T 20271-2006

5.信息安全技術 信息系統通用安全技術要求

GB/T 20271-2006

6.信息安全技術 數據庫管理系統安全技術要求

GB/T 20273-2006

7.信息系統安全等級保護測評要求

GB/T 28448-2012

8.信息安全技術公共及商用服務信息系統個人信息保護指南

GB/Z 28828-2012

9.移動互聯網聯網應用安全防護檢測要求

YD/T 2695-2014

10.移動智能終端上的個人信息保護技術要求

YD/T 3082-2016

11.移動智能終端應用軟件安全技術要求

YD/T 3039-2016

《OWASP Top 10 Mobile Risks》