客戶網(wǎng)站以及APP在正式上線之前,都會(huì)找專業(yè)的安全公司進(jìn)行滲透測試,檢測網(wǎng)站、APP是否存在漏洞,以及一些安全隱患,大多數(shù)的運(yùn)營者覺得安裝一些安全防護(hù)軟件就足以防止攻擊了,越這樣,網(wǎng)站APP越容易受到篡改數(shù)據(jù),以及攻擊等情況時(shí)而發(fā)生,近幾年移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展,APP應(yīng)用,網(wǎng)站也越來越多,受到的攻擊成幾何的增長,有很多客戶找到我們SINE安全來進(jìn)行滲透測試服務(wù),那如何通過滲透測試解決網(wǎng)站APP現(xiàn)有的攻擊問題呢,首先我們要了解,什么是滲透測試?
滲透測試是對(duì)網(wǎng)站、APP應(yīng)用(android,ios)進(jìn)行全面的安全檢測與漏洞掃描,模擬攻擊者的手法,切近實(shí)戰(zhàn),人工檢查網(wǎng)站APP存在的漏洞,最后評(píng)估生成安全報(bào)告,簡單來概括也叫黑箱測試,在沒有客戶提供的網(wǎng)站源代碼以及服務(wù)器管理員權(quán)限的情況下,從普通的用戶訪問對(duì)網(wǎng)站進(jìn)行測試。我們SINE安全在對(duì)客戶網(wǎng)站、APP進(jìn)行滲透測試之前,都需要獲取客戶的安全授權(quán),再一個(gè)確認(rèn)客戶的網(wǎng)站是否是客戶的,驗(yàn)證所有權(quán),再授權(quán)我們進(jìn)行安全滲透,安全授權(quán)相當(dāng)于甲方公司同意對(duì)乙方對(duì)旗下的網(wǎng)站域名,以及APP進(jìn)行遠(yuǎn)程的黑箱,白箱的滲透測試,雙方公司蓋章,電子簽或快遞簽,開始安全服務(wù)。
滲透測試的范圍與服務(wù)內(nèi)容都有哪些?
分多個(gè)層面進(jìn)行,網(wǎng)站方面,APP方面,我們從網(wǎng)站來說,大體滲透的范圍,對(duì)網(wǎng)站的漏洞進(jìn)行檢測,包括SQL注入漏洞,get,post,cookies注入漏洞,延遲注入檢測,盲注檢測,XSS跨站漏洞檢測,分反射XSS,持續(xù)性XSS,存儲(chǔ)性XSS檢測,CSRF漏洞,邏輯漏洞,垂直,平行越權(quán)漏洞,文件上傳截?cái)嗬@過漏洞,目錄遍歷漏洞,URL地址跳轉(zhuǎn)漏洞,代碼遠(yuǎn)程執(zhí)行漏洞,數(shù)據(jù)庫漏洞,賬號(hào)弱密碼漏洞掃描,任意文件下載漏洞,API接口漏洞檢測。
APP滲透測試方面包含APP反編譯安全測試,APP脫殼漏洞,APP二次打包植入后門漏洞,APP進(jìn)程安全檢測,APP appi接口的漏洞檢測,任意賬戶注冊漏洞,短信驗(yàn)證碼盜刷,簽名效驗(yàn)漏洞,APP加密/簽名破解,APP逆向,SO代碼函數(shù)漏洞,JAVA層動(dòng)態(tài)調(diào)試漏洞,代碼注入,HOOK攻擊檢測,內(nèi)存DUMP漏洞,AES解密測試,反調(diào)試漏洞,還有APP功能上邏輯漏洞,越權(quán)漏洞,平行垂直,獲取任意賬戶的信息,弱口令漏洞,暴力破解漏洞,JAVA漏洞檢查,敏感信息泄露等等。
根據(jù)SINE安全團(tuán)隊(duì)十年的滲透測試經(jīng)驗(yàn)得出,在對(duì)客戶網(wǎng)站進(jìn)行測試前,收集客戶網(wǎng)站信息以及資料,整理的越多越好,有利于更深入的了解客戶,只有真正的了解了自己,才能知彼知己百戰(zhàn)不殆,通過收集的資料,人工+軟件輔助的方式對(duì)漏洞進(jìn)行檢測,通過發(fā)現(xiàn)出來的漏洞以及測試經(jīng)驗(yàn)進(jìn)行更進(jìn)一步的漏洞深挖。最后對(duì)滲透測試出的漏洞,以及漏洞修復(fù)方案,安全方面建議,整理成詳細(xì)的安全部署報(bào)告,交由甲方公司,對(duì)整體的滲透測試內(nèi)容進(jìn)行描述,檢測出來的漏洞分高中低,漏洞名稱,漏洞詳情,漏洞利用方式,以及如何才能修復(fù)好漏洞,都會(huì)在報(bào)告中詳細(xì)的寫出,這樣才是完整的滲透測試服務(wù),找出漏洞所在,解決客戶的后顧之憂。
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!