否存在漏洞,以及一些安全隱患,大多數的運營者覺得安裝一些安全防護軟體就足以防止攻擊了,
越這樣,網站APP越容易受到篡改資料,以及攻擊等情況時而發生,近幾年移動互聯網的快速發展
,APP應用,網站也越來越多,受到的攻擊成幾何的增長,有很多客戶找到我們ESAFE安全來進行滲
透測試服務,那如何通過滲透測試解決網站APP現有的攻擊問題呢,首先我們要瞭解,什麼是滲透
測試?
滲透測試是對網站、APP應用(android,ios)進行全面的安全檢測與漏洞掃描,類比攻擊者的手
法,切近實戰,人工檢查網站APP存在的漏洞,最後評估生成安全報告,簡單來概括也叫黑箱測
試,在沒有客戶提供的網站原始程式碼以及伺服器管理員許可權的情況下,從普通的用戶訪問對網站進
行測試。我們ESAFE安全在對客戶網站、APP進行滲透測試之前,都需要獲取客戶的安全授權,再
一個確認客戶的網站是否是客戶的,驗證所有權,再授權我們進行安全滲透,安全授權相當於甲
方公司同意對乙方對旗下的網站功能變數名稱,以及APP進行遠端的黑箱,白箱的滲透測試,雙方公司蓋
章,電子簽或快遞簽,開始安全服務。
滲透測試的範圍與服務內容都有哪些?
分多個層面進行,網站方面,APP方面,我們從網站來說,大體滲透的範圍,對網站的漏洞進行
檢測,包括SQL注入漏洞,get,post,cookies注入漏洞,延遲注入檢測,盲注檢測,XSS跨站漏洞
檢測,分反射XSS,持續性XSS,存儲性XSS檢測,CSRF漏洞,邏輯漏洞,垂直,平行越權漏洞,
檔上傳截斷繞過漏洞,目錄遍歷漏洞,URL位址跳轉漏洞,代碼遠端執行漏洞,資料庫漏洞,賬
號弱密碼漏洞掃描,任意檔下載漏洞,API介面漏洞檢測。
APP滲透測試方面包含APP反編譯安全測試,APP脫殼漏洞,APP二次打包植入後門漏洞,APP進
程安全檢測,APP appi介面的漏洞檢測,任意帳戶註冊漏洞,短信驗證碼盜刷,簽名效驗漏洞,
APP加密/簽名破解,APP逆向,SO代碼函數漏洞,JAVA層動態調試漏洞,代碼注入,HOOK攻
擊檢測,記憶體DUMP漏洞,AES解密測試,反調試漏洞,還有APP功能上邏輯漏洞,越權漏洞,平
行垂直,獲取任意帳戶的資訊,弱口令漏洞,暴力破解漏洞,JAVA漏洞檢查,敏感資訊洩露等
等。
根據ESAFE安全團隊十年的滲透測試經驗得出,在對客戶網站進行測試前,收集客戶網站資訊以及
資料,整理的越多越好,有利於更深入的瞭解客戶,只有真正的瞭解了自己,才能知彼知己百戰
不殆,通過收集的資料,人工+軟體輔助的方式對漏洞進行檢測,通過發現出來的漏洞以及測試
經驗進行更進一步的漏洞深挖。最後對滲透測試出的漏洞,以及漏洞修復方案,安全方面建議,
整理成詳細的安全部署報告,交由甲方公司,對整體的滲透測試內容進行描述,檢測出來的漏洞
分高中低,漏洞名稱,漏洞詳情,漏洞利用方式,以及如何才能修復好漏洞,都會在報告中詳細
的寫出,這樣才是完整的滲透測試服務,找出漏洞所在,解決客戶的後顧之憂。
