渗透测试服务

通过自动化安全扫描和人工渗透测试对移动应用进行多方面检测，并挖掘出系统源码中可能存在的安全风险、漏洞等问题，帮助企业了解并提高其应用开发程序的安全性，有效预防可能存在的安全风险。

服务内容

1.模拟黑客手段

渗透工程师会模拟黑客使用的漏洞发现技术和攻击手段，找到系统比较脆弱的环节。

2.深度安全检测

发现可以利用的漏洞后，对系统进行更深入的访问和更深层次的安全检查。

3.解决安全风险

然后出具较为完整的测试报告，包含漏洞的风险描述、复现方法以及修复建议，直观的理解并解决系统面临的安全风险。

场景/范围

1.android/ios应用

2.web应用

3.微信公众号/微信小程序

服务流程

前期交互 - 搜集情报 - 威胁建模 - 漏洞分析 - 渗透攻击 - 后渗透攻击 - 报告编制

服务价值

1.定位安全风险

挖掘安全漏洞和安全风险，并串联形成攻击路径，而后达到模拟入侵的效果。整个渗透过程会有效的验证每个安全风险的真实性及其可利用程度。

2.验证技术安全

通过渗透测试，可在技术层面定性的分析和验证整个被测系统的安全性。

3.合法经营

《网络安全法》规定个人信息享有被保护权。渗透测试后进行漏洞修复能有效防止信息泄露等风险，避免企业触犯法律。

4.提升安全意识

渗透测试的结果可以作为素材进行学习，包括安全问题的原理、技术细节以及解决办法；能够从整体上提升企业员工的安全意识，提升企业资产的安全性。

服务优势

1.我们的安全渗透测试服务

应用漏洞；系统漏洞；业务逻辑漏洞；权限漏洞；社工攻击；漏洞复现；专业报告与修复建议；修复验证。

2.普通的渗透测试服务

应用漏洞

服务标准

1.信息技术安全性评估准则

GB/T 18336-2008

2.信息系统安全等级保护实施指南

GB/T 25058-2010

3.信息系统安全等级保护基本要求

GB/T 22239-2008

4.信息系统通用安全技术要求

GB/T 20271-2006

5.信息安全技术 信息系统通用安全技术要求

GB/T 20271-2006

6.信息安全技术 数据库管理系统安全技术要求

GB/T 20273-2006

7.信息系统安全等级保护测评要求

GB/T 28448-2012

8.信息安全技术公共及商用服务信息系统个人信息保护指南

GB/Z 28828-2012

9.移动互联网联网应用安全防护检测要求

YD/T 2695-2014

10.移动智能终端上的个人信息保护技术要求

YD/T 3082-2016

11.移动智能终端应用软件安全技术要求

YD/T 3039-2016

《OWASP Top 10 Mobile Risks》