文档介绍:Testin安全产品介绍2©–概述应用安全用户安全业务安全数据安全通信安全逆向分析防重打包组件访问权限组件安全漏洞自身保护检测弱口令检测找回密码检测登录限制检测密码保护机制检测信息失效检测验证码来源后台提示信息越权访问数据有效性键盘劫持/反截屏录像敏感信息窃取信息显示检测存储敏感信息检测文件权限安全传输协议身份认证检测防重放机制检测会话信息检测超时身份认证检测断网会话检测3安全测试流程©Testin,AllRightsReserved测试条件环境APP安装包版本标记测试账号………依据评估规范《信息安全风险评估规范》………实施黑盒评估工具自动化安全专家人工分析测试条件环境测试URL测试账号………依据评估规范《信息安全风险评估规范》………实施黑盒评估工具自动化安全专家人工分析App安全评估流程Web站点/微信公众号安全评估流程报告导出4APP应用安全评估关注点©Testin,AllRightsReserved安装包权限管理本地存储键盘安全输入检验……传输协议会话重放会话超时断网会话……传参校验组件安全登陆安全权限校验配置安全安全漏洞……本地安全传输层安全服务端安全5©:环境安全、应用安全、用户操作安全、业务安全、数据安全、通信安全、服务器端安全等7个方面对APP进行全方位的渗透测试序号检测项说明1环境安全测试的对象主要在APP应用程序运行环境安全,检测APP运行环境是否安全2应用安全测试的对象主要在APP本身应用程序代码的安全,帮助开发人员验证测试APP本身应用包的安全风险和逆向检测【现在移动端APP自身的安全问题更为重要,需要开发者在产品开发期间就做好安全工作】3用户安全测试的对象主要在APP使用者的基本操作安全,快速发现APP中的密码体系设计是否完整。使测试人员更专注于分析密码体系的设计缺陷4业务安全测试的对象主要在APP业务功能实现过程和逻辑的安全,检测APP运行执行业务操作流程的安全可靠性5数据安全测试的对象主要在APP处理数据过程的安全性,对APP运行和关闭状态的数据进行安全检测。帮助工作人员测试APP数据的生产、传输、存储、使用各个环节中的薄弱点6通讯安全检测应用的数据在网络传输过程是否安全。测试过程中快速发现APP数据在网络传输过程中的安全薄弱点7服务端安全测试服务端程序及平台系统的安全性。快速及时发现服务端隐藏的安全风险,提高服务器的抗攻击能力和安全性6©:1/37©:2/38©:3/39Web站点安全评估关注点©Testin,AllRightsReserved输入检验不安全的URL跳转……传输协议会话重放会话超时……传参校验组件安全登陆安全权限校验配置安全安全漏洞……前端安全传输层安全服务端安全10©:配置管理类、认证管理类、会话管理类、输入验证类、文件操作类、不安全URL类、服务器端敏感信息安全等7个方面进行渗透测试序号检测项说明1配置管理测试的对象主要在Web应用系统在部署生产环境时因研发/运维人员疏忽导致安全问题2认证管理测试的对象主要在Web应用系统身份认证机制,包括客户身份认证和服务端身份认证检测3会话管理测试的对象主要在Web应用系统会话安全管理机制安全4输入验证测试的对象主要在Web应用系统参数输入校验机制安全,包括SQL注入、XSS漏洞等5文件操作测试的对象主要在Web应用系统处理上传文件数据过程的安全性6不安全URL检测Web应用系统的URL跳转、常见木马后门文件7服务端敏感信息测试服务端程序及平台系统的安全性。帮助测试人员快速及时发现服务端隐藏的安全风险,提高服务器的抗攻击能力和安全性