首页> 安全资讯 > 爱加密渗透测试服务,为用户提供持续性安全保障

爱加密渗透测试服务,为用户提供持续性安全保障

发布时间:2020-07-01

任何信息系统的安全保障建设不能单纯的依靠各类安全产品的部署,信息系统安全保障是一个动态的过程,通过专业安全服务能够更及时的针对安全势态的变化做出响应。爱加密可提供覆盖移动业务规划、设计、开发、实施、检测、合规、监控的全生命周期的一站式移动安全服务,全面守护客户移动业务安全。

 

爱加密渗透测试服务,在取得用户授权的前提下,通过模拟黑客攻击对整个应用系统进行全面的漏洞检测与分析,输出专业的渗透测试报告,让客户清晰了解当前应用系统的脆弱性、漏洞的危害及漏洞造成的影响,通过漏洞修复建议与修复指导协助客户解决应用系统存在的漏洞问题。

测试范围

从攻击者角度,发现 App 客户端及轻应用接口存在的安全隐患,检测对外提供服务的业务系统以及行内重要业务系统的威胁防御能力。深度挖掘渗透测试范围内应用系统各个层面(应用层、网络层、系统层)的安全漏洞,检验当前安全控制措施的有效性,针对发现的安全风险及时进行整改,增强系统自身防御能力,提升安全保障体系的整体健壮性。具体渗透测试内容如下:

 

应用及系统渗透测试服务:

Android渗透测试

iOS渗透测试

微信公众号渗透测试

Web应用渗透测试

SDK渗透测试-Android

SDK渗透测试-iOS

POSApp渗透测试

业务功能接口渗透测试服务:

移动业务接口安全设计安全评估

移动业务接口渗透测试

 

测试方案

在进行渗透测试之前,首先必须明确渗透的范围,爱加密将与用户进行深入的沟通,由双方共同确定渗透测试范围和渗透测试对象,既可选取重点、有代表性的主机或应用进行渗透测试,也可以对整个网络进行渗透测试。制定渗透测试方案应考虑如下因素:

系统规模

业务组成

网络分布

系统组成

其他因素

 

渗透方案应包括但不限于以下内容:渗透测试目标、渗透测试范围、测试时间与人员、渗透测试计划、风险规避 、测试过程管理等。

 

测试目标:阐述本次渗透测试的目标,即通过渗透测试能帮助用户发现问题类型,预期达到的目标等。

 

测试范围:说明渗透测试的范围,渗透测试都会有范围的限定,可能是一个应用系统或者一个 IP 地址甚至整个内网。渗透测试原则上是不允许对授权范围外的主机和网络设备进行渗透。

 

测试时间与人员:说明渗透测试的具体时间,以及参加渗透测试的具体人员。防止人员或时间变动给项目带来额外的风险。

 

工作计划:说明渗透测试拟采用的技术路线,渗透测试的流程和采取的技术手段,以及可能采用的工具等。(客户对评估小组提供工具进行审核并在测试环境中对工具进行严格测试。)

 

风险规避措施:说明渗透测试面临的风险,以及拟准备的风险控制措施,如系统备份、系统恢复等。

 

过程管理:说明如何对渗透测试的进程和测试结果进行质量、过程控制,人员协调以及必要的保密措施等。

测试内容

根据信息搜集与分析的结果,初步拟定渗透测试方法、测试项以及攻击路径,使用模拟黑客攻击的手段,对被评估系统进行渗透。通过初步的信息搜集与分析,一般存在两种可能性,一种是目标系统存在重大的安全弱点,测试可以直接控制目标系统;另一种是目标系统没有远程重大的安全弱点,但是可以获得普通用户权限,这时可以通过该普通用户权限进一步收集目标系统信息,收集目标主机资料信息,寻求本地权限提升的机会。

 

在渗透中,最大的安全隐患是弱口令问题。爱加密在渗透过程中,根据用户的特点定制字典文件。并根据需要对系统进行截图,对每一个重要的测试点进行截图来记录渗透结果。

 

渗透测试采取严格的风险控制措施,如果发现被评估系统发生服务停止或者服务器宕机的现象,应立即停止测试,并联系客户的管理人员进行原因分析,在查明原因并更改策略后方可继续进行测试。

 

测试报告

在渗透测试的后期,爱加密会开始整理渗透测试的过程文档,制作渗透测试报告。渗透测试报告是对整个渗透工作的总结,渗透测试报告将会十分详细的说明渗透测试过程中的得到的数据和信息,分析系统目前的安全状况,并给出安全建议,并且将会详细的记录整个渗透测试的全部操作。

 

渗透测试报告作为提交给用户的最终成果,渗透测试报告包含渗透过程中采用的方法、手段、测试项目、发现的问题、以及相关漏洞的加固建议和系统的安全建议。测试报告按照每一个渗透目标一份报告输出,最终汇总的渗透测试报告如下:

《移动端 Android 渗透测试报告》

《移动端 iOS 渗透测试报告》

《轻应用接口渗透测试报告》

 


加入收藏