在客户网站和APP正式上线之前，他们会找专业的安全公司进行渗透测试，检测网站和APP是否存在漏洞和一些安全隐患。大多数运营商认为安装一些安全防护软件就足够防范攻击了。这种情况发生得越多，网站APP就越容易受到数据篡改和攻击。近年来，随着移动互联网的快速发展，越来越多的APP应用和网站遭到攻击，攻击次数呈指数级增长。很多客户找我们的SINE安全进行渗透测试服务，那么如何通过渗透测试解决网站应用存在的攻击问题呢?

渗透测试是对网站和APP应用(android、ios)进行全面的安全检测和漏洞扫描，模拟攻击者的方法，接近实战，手动检查网站应用的漏洞，最后评估并生成安全报告，简称黑盒测试。在没有客户端提供的网站源代码和服务器管理员权限的情况下，从普通用户访问测试站点。在对客户的网站和APP进行渗透测试之前，我们的SINE安全需要获得客户的安全授权，验证客户网站的所有权，然后授权我们进行安全渗透。安全授权相当于甲方同意对乙方网站域名及APP进行远程黑匣子。白盒渗透测试，双方公司盖章、电子签名或快递签名，启动安全服务。

渗透测试的范围和服务是什么?

在网站和APP方面，我们在网站的一般渗透范围内检测网站漏洞，包括SQL注入漏洞、get、post、cookie注入漏洞、延迟注入检测、盲注入检测、跨站XSS漏洞检测、部分反射XSS、持久XSS等。存储XSS检测、CSRF漏洞、逻辑漏洞、垂直、并行授权漏洞、文件上传截断绕过漏洞、目录遍历漏洞、URL地址跳转漏洞、代码远程执行漏洞、数据库漏洞、账号弱密码漏洞扫描、任意文件下载漏洞、API接口漏洞检测。

APP渗透测试包括APP反编译安全测试、APP去壳漏洞、APP二次打包和后门放置漏洞、APP进程安全测试、APP appi接口漏洞检测、任意账号注册漏洞、短信验证码盗窃刷、签名验证漏洞、APP加密/签名破解、APP反向、SO码功能漏洞、JAVA层动态调试漏洞、代码注入漏洞、HOOK攻击检测、内存DUMP漏洞、AES解密测试、反调试漏洞，以及APP功能逻辑漏洞、超伸漏洞、平行垂直漏洞、访问任意账户信息漏洞、弱密码漏洞、蛮力破解漏洞、JAVA漏洞检测、敏感信息泄露等。

根据SINE安全团队十年的渗透测试经验，在对客户的网站进行测试之前，应该尽可能地收集和整理客户网站的信息和数据，这有利于对客户有更深入的了解。只有真正了解自己，才能确定彼此了解，通过收集到的数据，通过人工+软件辅助的方式来检测漏洞。通过发现的漏洞和测试经验进一步挖掘漏洞。最后，将渗透测试中发现的漏洞、漏洞修复方案和安全建议整理成详细的安全部署报告，提交给甲方，描述渗透测试的整体内容。将检测到的漏洞分为高、中、低三个级别，并在报告中详细描述漏洞的名称、漏洞的详细信息、利用漏洞的方式以及如何修复漏洞。这是一个完整的渗透测试服务，找出漏洞在哪里，解决客户的后顾之忧。