服務介紹

APP安全測試是由奇安信集團安全專家針對移動客戶端(Android、iOS)和對應服務器端提供的安全測試業務。利用專業安全測試工具和安全專家經驗對APP應用的后臺服務器、業務接口以及客戶端本身進行非破壞性質的模擬黑客攻擊,發現其存在的安全風險,發現移動應用客戶端和服務器端中存在的技術層面、業務層面的安全問題,并給出專業修復建議,指導開發人員進行問題修復,保障業務的穩定,持續運行。

奇安信移動APP安全測試服務分別從客戶端和服務端進行安全測試,檢測項近150項。

APP安全測試服務

檢測方法

奇安信移動APP安全測試采用自動化工具+人工的方式進行,對移動APP分別進行客戶端工具掃描、客戶端靜態分析、客戶端動態分析、APP所依賴的后臺服務器及API接口進行滲透測試,并依托奇安信集團后端豐富的安全知識庫,確保及時檢測業界新出現的風險漏洞,保障測試內容全覆蓋。

客戶端工具掃描

使用自動化檢測工具,支持組件風險檢測、進程注入、數據審核、界面劫持等風險類別的自動化測試。提升工作效率的同時,還可以減少因人為因素引起的錯誤,提升測試結果準確性。

APP安全測試服務

客戶端靜態分析

靜態分析通過工具反編譯移動客戶端,并采用人工的方式對移動客戶端的配置文件及源碼進行深入分析,可以快速發現如程序數據任意備份、程序可被任意調試、遠程代碼執行、中間人攻擊等漏洞。除此之外,實時與內建的安全知識庫關聯,確保測試過程始終覆蓋新出現的安全威脅。

APP安全測試服務

客戶端動態分析

動態分析通過執行APP的安裝、運行、執行自動化腳本等操作,借助工具記錄測試對象的行為。如網絡通信、文件讀寫、進程操作等。通過對實際行為的分析檢測軟件是否可能存在中間人攻擊、進程注入、敏感信息泄露等安全漏洞。同靜態分析一樣,動態分析同樣會關聯內建的安全知識庫,確保覆蓋業界新出現的安全威脅。動態分析與靜態分析相比,可覆蓋部分通過靜態分析無法發現的安全問題。

APP安全測試服務

服務端滲透測試

使用滲透測試方法對APP所依賴的后臺服務器進行安全檢查。通過模擬惡意黑客的方法進行攻擊,來評估APP后臺服務器的安全狀況。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析并加以利用,主要涉及服務端API接口安全、業務邏輯安全、中間件安全以及服務器安全。著重關注與服務器交互的接口安全以及服務器自身的邊界安全。

APP安全測試服務

服務優勢

測試用例豐富

測試用例齊全,涵蓋客戶端程序安全、進程安全、組件安全、敏感信息安全、網絡通信安全、策略安全、惡意攻擊防范、應用規范安全等方面,共計百余項測試用例,測試用例超過行業平均數30%。

豐富的安全漏洞知識庫

APP評估團隊由經驗豐富的安全專家組成,在移動安全領域具有深厚的積累,所掌握的安全技術、大數據分析能力、安全人才數量和質量、安全研發實力、安全事件的研究能力,均在全球名列前茅,依托奇安信豐富的安全研究能力以及補天平臺的漏洞庫,可協助企業第一時間全面發現移動APP技術和業務層面的安全問題,降低移動APP安全風險。

標準化工具

基于定制化測試終端和工具,修改底層接口,能夠更直接、更準確的檢測代碼層面的風險。為定制化終端開發的流水線式自動化配套工具,保證檢測過程準確無誤,不出現誤測等情況。精心編寫的自動化測試用例和工具,覆蓋各個攻擊面,保障整個測試過程無死角,不出現誤測、漏測。

定制化專屬服務

基于客戶具體的業務場景,對移動應用的各類風險進行評級,方便客戶有主次、有緩急的制訂安全修復計劃。針對不同客戶開發團隊的技術特點,針對性的提供詳細的、可操作性的修復方案以及一對一培訓指導服務,確保客戶清楚了解風險原因,并輔助客戶進行風險修復。  

客戶價值
  • ? 全面掌握移動APP各類風險;
  • ? 獲得建設性的APP安全解決方案;
  • ? 提升移動APP多層面的安全性;
  • ? 降低安全漏洞風險,規避各類損失;
  • ? 使產品符合國家以及行業監管要求;
  • ? 提升開發人員和測試人員安全意識。