澤眾云測試通過專業(yè)的安全測試設(shè)備與經(jīng)驗(yàn)豐富的實(shí)施人員從應(yīng)用代碼、服務(wù)器、數(shù)據(jù)庫、通信交互等方面針對安全性風(fēng)險(xiǎn)進(jìn)行全方位的檢測；憑借專業(yè)的安全測試設(shè)備以及積累的安全測試用例為客戶出具安全測試報(bào)告，并為客戶提供科學(xué)的修復(fù)建議。

安全測試解決的問題

用戶

1、個(gè)人信息和資料是否存在泄露風(fēng)險(xiǎn)；

2、軟件安裝是否存在木馬及病毒；

研發(fā)

1、系統(tǒng)是否存在安全性的漏洞或者潛在的安全問題；

2、缺少漏洞的修復(fù)建議及修復(fù)方式；

3、缺少安全測試方案、安全測試人員及專業(yè)的安全測試工具；

4、無法全面客觀地評估系統(tǒng)安全符合系統(tǒng)需求；

管理與運(yùn)維

1、無法發(fā)現(xiàn)用戶數(shù)據(jù)是否存在泄露的可能；

2、是否會(huì)因安全問題受到監(jiān)管部門處罰；

3、防止對應(yīng)用惡意篡改等非法操作導(dǎo)致正常的業(yè)務(wù)開展；

4、提升應(yīng)用安全防御與加固，增強(qiáng)系統(tǒng)信息安全性，提高產(chǎn)品的市場競爭力；

測試場景

設(shè)備入網(wǎng)、項(xiàng)目驗(yàn)收、日常運(yùn)維、安全檢查、合規(guī)安全檢查、安全風(fēng)險(xiǎn)評估。

測試類型

Web端、微信小程序、手機(jī)APP、移動(dòng)端H5、主機(jī)安全、數(shù)據(jù)庫安全

我們的優(yōu)勢

1、專業(yè)的測試設(shè)備

設(shè)備具有網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證證書（增強(qiáng)級）以及國家信息安全漏洞庫《兼容性資質(zhì)證書》；全面支持 OWASP TOP 10 檢測，全方位評估應(yīng)用存在的安全隱患（如：注入攻擊、跨站腳本、文件包含、釣魚攻擊、信息泄漏、惡意編碼、表單繞過等），協(xié)助用戶滿足等級保護(hù)、PCI、內(nèi)控審計(jì)等規(guī)范要求。

2、專業(yè)技術(shù)團(tuán)隊(duì)

專職的項(xiàng)目經(jīng)理、經(jīng)驗(yàn)豐富的安全測試人員，團(tuán)隊(duì)成員全部具有安全測試工程師證書；全面專業(yè)的測試報(bào)告，報(bào)告具有人工符合機(jī)制，并且給出修復(fù)建議。

3、響應(yīng)迅速

5天出具測試報(bào)告；測試方式是自動(dòng)化掃描+人工測試；測試設(shè)備的病毒庫實(shí)時(shí)更新。

4、豐富的測試經(jīng)驗(yàn)

實(shí)施過的客戶涵蓋金融、企業(yè)、政府、高校、科研機(jī)構(gòu)等多個(gè)行業(yè)；應(yīng)用類型包括WEB端、H5界面、小程序、APP等；應(yīng)用行業(yè)包含游戲娛樂、教育教學(xué)、聯(lián)絡(luò)聊天、硬件驅(qū)動(dòng)、管理類等。

安全測試流程

1、商務(wù)溝通

商務(wù)溝通、需求溝通、簽訂合同

2、需求階段

環(huán)境準(zhǔn)備、計(jì)劃編寫/評審、風(fēng)險(xiǎn)初步分析/評審

3、設(shè)計(jì)、執(zhí)行階段

測試風(fēng)險(xiǎn)點(diǎn)設(shè)計(jì)、評審、手工/自動(dòng)用例執(zhí)行、執(zhí)行結(jié)果分析

4、交付階段

檢測報(bào)告編寫、檢測報(bào)告評審/審核、檢測報(bào)告發(fā)放

測試工具&產(chǎn)物

1、測試工具

工具介紹，工具圖，部署結(jié)構(gòu) 工具資質(zhì)報(bào)告

2、測試計(jì)劃&測試方案

測試計(jì)劃說明和計(jì)劃截圖

測試方案說明和方案截圖

3、測試任務(wù)&任務(wù)設(shè)計(jì)

測試用例設(shè)計(jì)與用例確認(rèn)

測試任務(wù)設(shè)計(jì)和場景截圖

4、測試結(jié)果&測試報(bào)告

測試結(jié)果說明和結(jié)果截圖

常見安全問題與解決方案

1、HTTP X-XSS-Protection缺失

解決方案：服務(wù)器配置X-XSS-Protection頭，X-XSS-Protection值為：0 禁止XSS過濾；1 啟用XSS過濾（通常瀏覽器是默認(rèn)的）。

2、HTTP Content-Security-Policy缺失

解決方案：啟用 CSP方法：一種是通過 HTTP 頭信息的Content-Security-Policy的字段，另一種是通過網(wǎng)頁的meta標(biāo)簽。

3、相對路徑覆蓋(RPO)漏洞

解決方案：建議對靜態(tài)文件導(dǎo)入使用絕對路徑，將Web服務(wù)器配置為在所有頁面上包括 X-Frame-Options：deny 的響應(yīng)頭。

安全測試工具

產(chǎn)品定位介紹

安全評估系統(tǒng)可對不同操作系統(tǒng)下的計(jì)算機(jī)進(jìn)行漏洞掃描，分析和指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié)并針對安全漏洞給出相關(guān)的修補(bǔ)措施和安全建議。

系統(tǒng)測試范圍

1、操作系統(tǒng)

支持對Microsoft Windows、Sun SolariS、HP Unix、IBM AIX、RIX、Linux、BSD等操作系統(tǒng)進(jìn)行的識別和漏洞掃描

2、瀏覽器

支持對IE. Google Chrome、Firefox、Opera,、MediaPlayer,、Adobe Reader等常見瀏覽器掃描

3、應(yīng)用系統(tǒng)

支持對IIS、Apache、Tomcat、 Websphere等常見web應(yīng)用系統(tǒng)的掃描

4、網(wǎng)絡(luò)設(shè)備

支持對多個(gè)廠商路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備，Vmware、Citrix虛擬化應(yīng)用等進(jìn)行漏洞掃描

系統(tǒng)頁面展示(掃描詳情)

通過圖表展示系統(tǒng)掃描的詳細(xì)情況，包括漏洞信息、網(wǎng)站信息等

測試計(jì)劃與方案

試計(jì)劃與方案

測試計(jì)劃

對每個(gè)測試階段準(zhǔn)入準(zhǔn)出定義，包含工作內(nèi)容、測試產(chǎn)物、階段目標(biāo)、時(shí)間計(jì)劃等進(jìn)行規(guī)定、根據(jù)不同的測試目標(biāo)可進(jìn)行調(diào)整

測試方案

可根據(jù)測試目的進(jìn)行調(diào)整測試方案

測試用例&執(zhí)行記錄

試用例&執(zhí)行記錄

安全測試用例

以下為測試用例的模板及執(zhí)行記錄

安全測試執(zhí)行記錄部分截圖

測試分析與定位

漏洞概要圖

通過圖表直觀展示系統(tǒng)不同安全級別的漏洞數(shù)及百分比

漏洞掃描問題統(tǒng)計(jì) 統(tǒng)計(jì)系統(tǒng)各個(gè)漏洞的數(shù)量及威脅等級并以柱狀圖展示

接口信息及漏洞分析 展示接口請求信息及漏洞描述、修復(fù)建議等，如下某接口經(jīng)過漏描出現(xiàn)了隱藏框架的漏洞，同時(shí)也給出了一般性的修復(fù)建議

測試報(bào)告

信息安全性測試報(bào)告部分截圖，測試報(bào)告部分展示