一、概念
渗透测试:对网站、APP应用进行全面的安全检测与漏洞扫描,模拟黑客的手法对App进行渗透,针对网站、APP存在的漏洞,最后生成对网站、App的渗透测试安全报告书。
在对客户网站、APP进行渗透测试之前,都需要获取客户的安全授权,授权进行安全渗透测试服务。
二、渗透测试的范围与服务内容
网站:SQL注入漏洞,get、post、cookies注入漏洞,延迟注入漏洞,盲注检测,XSS跨站漏洞检测,分反射XSS,持续性XSS,存储性XSS,CSRF漏洞,逻辑漏洞,垂直,平行越权漏洞,文件上传截断绕过漏洞,目录遍历漏洞,URL地址跳转漏洞,代码远程执行漏洞,数据库漏洞,账号弱密码漏洞扫描,任意文件下载漏洞,API接口漏洞检测等。
三、APP应用安全渗透测试方向
APP反编译安全测试、APP脱壳漏洞、APP二次打包植入后门漏洞、APP进程安全检测、APP api接口的漏洞检测、任意账户注册漏洞、短信验证码漏洞、签名校验漏洞、App加密/签名破解、APP逆向、SO代码函数漏洞、JAVA层动态调试漏洞、代码注入、HOOK攻击检测、内存DUMP漏洞、AES解密测试、反调试漏洞、APP逻辑漏洞、越权漏洞、平行垂直、获取任意账户信息、弱口令漏洞、暴力破解漏洞、Java漏洞检查、敏感信息泄露等。
通过每个漏洞合成加以防护,基本上APP应用安全得以保障。