服务介绍

APP安全测试是由奇安信集团安全专家针对移动客户端(Android、iOS)和对应服务器端提供的安全测试业务。利用专业安全测试工具和安全专家经验对APP应用的后台服务器、业务接口以及客户端本身进行非破坏性质的模拟黑客攻击,发现其存在的安全风险,最大限度发现移动应用客户端和服务器端中存在的技术层面、业务层面的安全问题,并给出专业修复建议,指导开发人员进行问题修复,保障业务的稳定,持续运行。

奇安信移动APP安全测试服务分别从客户端和服务端进行安全测试,检测项近150项。


检测方法

奇安信移动APP安全测试采用自动化工具+人工的方式进行,对移动APP分别进行客户端工具扫描、客户端静态分析、客户端动态分析、APP所依赖的后台服务器及API接口进行渗透测试,并依托奇安信集团后端强大的安全知识库,确保及时检测业界最新风险漏洞,保障测试内容全覆盖。

客户端工具扫描

使用自动化检测工具,支持组件风险检测、进程注入、数据审核、界面劫持等风险类别的自动化测试。提升工作效率的同时,还可以减少因人为因素引起的错误,提升测试结果准确性。


客户端静态分析

静态分析通过工具反编译移动客户端,并采用人工的方式对移动客户端的配置文件及源码进行深入分析,可以快速发现如程序数据任意备份、程序可被任意调试、远程代码执行、中间人攻击等漏洞。除此之外,实时与内建的安全知识库关联,确保测试过程始终覆盖最新的安全威胁。


客户端动态分析

动态分析通过执行APP的安装、运行、执行自动化脚本等操作,借助工具记录测试对象的行为。如网络通信、文件读写、进程操作等。通过对实际行为的分析检测软件是否可能存在中间人攻击、进程注入、敏感信息泄露等安全漏洞。同静态分析一样,动态分析同样会关联内建的安全知识库,确保覆盖业界最新的安全威胁。动态分析与静态分析相比,可覆盖部分通过静态分析无法发现的安全问题。


服务端渗透测试

使用渗透测试方法对APP所依赖的后台服务器进行安全检查。通过模拟恶意黑客的方法进行攻击,来评估APP后台服务器的安全状况。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析并加以利用,主要涉及服务端API接口安全、业务逻辑安全、中间件安全以及服务器安全。着重关注与服务器交互的接口安全以及服务器自身的边界安全。


服务优势

测试用例丰富

测试用例齐全,涵盖客户端程序安全、进程安全、组件安全、敏感信息安全、网络通信安全、策略安全、恶意攻击防范、应用规范安全等方面,共计百余项测试用例,测试用例超过行业平均数30%。

丰富的安全漏洞知识库

APP评估团队都由经验丰富的安全专家组成,在移动安全领域具有深厚的积累,所掌握的安全技术、大数据分析能力、安全人才数量和质量、安全研发实力、安全事件的研究能力,均在全球名列前茅,依托奇安信集团强大的安全研究能力以及补天平台的漏洞库,可协助企业第一时间全面发现移动APP技术和业务层面的安全问题,降低移动APP安全风险。

标准化工具

基于定制化测试终端和工具,修改底层接口,能够更直接、更准确的检测代码层面的风险。为定制化终端开发的流水线式自动化配套工具,保证检测过程准确无误,不出现误测等情况。精心编写的自动化测试用例和工具,覆盖各个攻击面,保障整个测试过程无死角,不出现误测、漏测。

定制化专属服务

基于客户具体的业务场景,对移动应用的各类风险进行评级,方便客户有主次、有缓急的制订安全修复计划。针对不同客户开发团队的技术特点,针对性的提供详细的、可操作性的修复方案以及一对一培训指导服务,确保客户清楚了解风险原因,并辅助客户进行风险修复。  

客户价值
  • • 全面掌握移动APP各类风险;
  • • 获得最具建设性的APP安全解决方案;
  • • 提升移动APP多层面的安全性;
  • • 降低安全漏洞风险,规避各类损失;
  • • 使产品符合国家以及行业监管要求;
  • • 提升开发人员和测试人员安全意识。