客戶網站以及App在正式上線之前,都會找專業的安全公司進行滲透測試,檢測網站、APP是否存在漏洞,以及一些安全隱患,大多數的運營者覺得安裝一些安全防護軟件就足以防止攻擊了,越這樣,網站APP越容易受到篡改數據,以及攻擊等情況時而發生,近幾年移動互聯網的快速發展,APP應用,網站也越來越多,受到的攻擊成幾何的增長,有很多客戶找到我們SINE安全來進行滲透測試服務,那如何通過滲透測試解決網站APP現有的攻擊問題呢,首先我們要了解,什么是滲透測試?
滲透測試是對網站、APP應用(Android,IOS)進行全面的安全檢測與漏洞掃描,模擬攻擊者的手法,切近實戰,人工檢查網站APP存在的漏洞,最后評估生成安全報告,簡單來概括也叫黑箱測試,在沒有客戶提供的網站源代碼以及服務器管理員權限的情況下,從普通的用戶訪問對網站進行測試。我們SINE安全在對客戶網站、APP進行滲透測試之前,都需要獲取客戶的安全授權,再一個確認客戶的網站是否是客戶的,驗證所有權,再授權我們進行安全滲透,安全授權相當于甲方公司同意對乙方對旗下的網站域名,以及APP進行遠程的黑箱,白箱的滲透測試,雙方公司蓋章,電子簽或快遞簽,開始安全服務。
滲透測試的范圍與服務內容都有哪些?
分多個層面進行,網站方面,APP方面,我們從網站來說,大體滲透的范圍,對網站的漏洞進行檢測,包括SQL注入漏洞,get,post,cookies注入漏洞,延遲注入檢測,盲注檢測,XSS跨站漏洞檢測,分反射XSS,持續性XSS,存儲性XSS檢測,CSRF漏洞,邏輯漏洞,垂直,平行越權漏洞,文件上傳截斷繞過漏洞,目錄遍歷漏洞,URL地址跳轉漏洞,代碼遠程執行漏洞,數據庫漏洞,賬號弱密碼漏洞掃描,任意文件下載漏洞,API接口漏洞檢測。
APP滲透測試方面包含APP反編譯安全測試,APP脫殼漏洞,APP二次打包植入后門漏洞,APP進程安全檢測,APP appi接口的漏洞檢測,任意賬戶注冊漏洞,短信驗證碼盜刷,簽名效驗漏洞,APP加密/簽名破解,APP逆向,SO代碼函數漏洞,JAVA層動態調試漏洞,代碼注入,HOOK攻擊檢測,內存DUMP漏洞,AES解密測試,反調試漏洞,還有APP功能上邏輯漏洞,越權漏洞,平行垂直,獲取任意賬戶的信息,弱口令漏洞,暴力破解漏洞,JAVA漏洞檢查,敏感信息泄露等等。
根據SINE安全團隊十年的滲透測試經驗得出,在對客戶網站進行測試前,收集客戶網站信息以及資料,整理的越多越好,有利于更深入的了解客戶,只有真正的了解了自己,才能知彼知己百戰不殆,通過收集的資料,人工+軟件輔助的方式對漏洞進行檢測,通過發現出來的漏洞以及測試經驗進行更進一步的漏洞深挖。最后對滲透測試出的漏洞,以及漏洞修復方案,安全方面建議,整理成詳細的安全部署報告,交由甲方公司,對整體的滲透測試內容進行描述,檢測出來的漏洞分高中低,漏洞名稱,漏洞詳情,漏洞利用方式,以及如何才能修復好漏洞,都會在報告中詳細的寫出,這樣才是完整的滲透測試服務,找出漏洞所在,解決客戶的后顧之憂。
