在客户网站和APP正式上线之前,他们会找专业的安全公司进行渗透测试,检测网站和APP是否存在漏洞和一些安全隐患。大多数运营商认为安装一些安全防护软件就足够防范攻击了。这种情况发生得越多,网站APP就越容易受到数据篡改和攻击。近年来,随着移动互联网的快速发展,越来越多的APP应用和网站遭到攻击,攻击次数呈指数级增长。很多客户找我们的SINE安全进行渗透测试服务,那么如何通过渗透测试解决网站应用存在的攻击问题呢?
渗透测试是对网站和APP应用(android、ios)进行全面的安全检测和漏洞扫描,模拟攻击者的方法,接近实战,手动检查网站应用的漏洞,最后评估并生成安全报告,简称黑盒测试。在没有客户端提供的网站源代码和服务器管理员权限的情况下,从普通用户访问测试站点。在对客户的网站和APP进行渗透测试之前,我们的SINE安全需要获得客户的安全授权,验证客户网站的所有权,然后授权我们进行安全渗透。安全授权相当于甲方同意对乙方网站域名及APP进行远程黑匣子。白盒渗透测试,双方公司盖章、电子签名或快递签名,启动安全服务。
渗透测试的范围和服务是什么?
在网站和APP方面,我们在网站的一般渗透范围内检测网站漏洞,包括SQL注入漏洞、get、post、cookie注入漏洞、延迟注入检测、盲注入检测、跨站XSS漏洞检测、部分反射XSS、持久XSS等。存储XSS检测、CSRF漏洞、逻辑漏洞、垂直、并行授权漏洞、文件上传截断绕过漏洞、目录遍历漏洞、URL地址跳转漏洞、代码远程执行漏洞、数据库漏洞、账号弱密码漏洞扫描、任意文件下载漏洞、API接口漏洞检测。
APP渗透测试包括APP反编译安全测试、APP去壳漏洞、APP二次打包和后门放置漏洞、APP进程安全测试、APP appi接口漏洞检测、任意账号注册漏洞、短信验证码盗窃刷、签名验证漏洞、APP加密/签名破解、APP反向、SO码功能漏洞、JAVA层动态调试漏洞、代码注入漏洞、HOOK攻击检测、内存DUMP漏洞、AES解密测试、反调试漏洞,以及APP功能逻辑漏洞、超伸漏洞、平行垂直漏洞、访问任意账户信息漏洞、弱密码漏洞、蛮力破解漏洞、JAVA漏洞检测、敏感信息泄露等。
根据SINE安全团队十年的渗透测试经验,在对客户的网站进行测试之前,应该尽可能地收集和整理客户网站的信息和数据,这有利于对客户有更深入的了解。只有真正了解自己,才能确定彼此了解,通过收集到的数据,通过人工+软件辅助的方式来检测漏洞。通过发现的漏洞和测试经验进一步挖掘漏洞。最后,将渗透测试中发现的漏洞、漏洞修复方案和安全建议整理成详细的安全部署报告,提交给甲方,描述渗透测试的整体内容。将检测到的漏洞分为高、中、低三个级别,并在报告中详细描述漏洞的名称、漏洞的详细信息、利用漏洞的方式以及如何修复漏洞。这是一个完整的渗透测试服务,找出漏洞在哪里,解决客户的后顾之忧。