黑盒+灰盒

通过黑盒与灰盒结合的方式，从外部渗透、钓鱼攻击到内网渗透，多方位检测客户的系统安全强度。

漏洞发现

螣龙安科有专业的漏洞挖掘工程师，无论是App还是Web App，都能够帮助客户成功发现问题。

安全建议

定位安全问题之后，螣龙的安全工程师能够协助客户直观体会系统的脆弱性，并协助给出最适宜的解决方案。

安全审计报告

完整的渗透测试安全报告，不仅包含高质量的系统安全性分析及专业的安全解决方案建议，还可以作为客户证明自身系统安全性的有力证据。

服务对象

安卓应用

对客户端、组件、本地数据、敏感信息、业务等 64 个检测项目进行安全检测。

iOS应用

对客户端、策略、通信、敏感信息、业务等 33 个检测项目进行安全检测。

网页应用

对注入、跨站、越权、CSRF、中间件、规避交易、信息泄露、业务等 67 个检测项进行安全检测。

微信服务号

对客户端、组件、敏感信息、业务等 64 个检测项目进行安全检测。

微信小程序

根据小程序的开发特性，在SQL注入、越权访问、等漏洞进行检测。

工控安全测试

提供针对工控安全中 28 个检测类的渗透测试。

服务内容

服务内容	服务细则
开源情报采集	域名 Whois 信息采集/真实 IP 发现/子域探测/邮件服务探测/证书信息采集/Web 服务组件指纹采集/端口服务组件指纹采集/C 段服务采集/GitHub 源码泄露发现/Google Hack 探测
App 安全审计	App 环境检测审计/代码反编译检测/文件存储安全检测/通信加密检测/权限检测/接口安全测试/业务安全检测/WebKit 安全检测/App 缓存安全检测/App Webview DOM 安全测试/SQLite 存储安全审计
服务端安全配置审计	CDN 服务探测/网络基础设施配置测试/应用平台配置管理测试/文件扩展名解析测试/备份、未链接文件测试/枚举管理接口测试/HTTP 方法测试/HTTP 严格传输测试/Web 前端跨域策略测试/Web 安全响应头部测试/弱口令及默认口令探测/管理后台发现
节点安全审计	节点配置安全检测/节点数据同步安全检测/节点交易安全审计/节点通信安全检测/节点开源代码安全审计
身份鉴别管理审计	角色定义测试/用户注册过程测试/帐户权限变化测试/帐户枚举测试/弱用户名策略测试
认证与授权审计	口令信息加密传输测试/默认口令测试/帐户锁定机制测试/认证绕过测试/记住密码功能测试/浏览器缓存测试/密码策略测试/安全问答测试/密码重置测试/OAuth 等认证模型测试/权限提升测试/授权绕过测试/双因素认证绕过测试/Hash 健壮性测试
会话管理审计	会话管理绕过测试/Cookies 属性测试/会话固定测试/会话令牌泄露测试/跨站点请求伪造（CSRF）测试/登出功能测试/会话超时测试/会话令牌重载测试
输入安全审计	跨站脚本（XSS）测试/模板注入测试/第三方组件漏洞测试/HTTP 参数污染测试/SQL 注入测试/XXE 实体注入测试/反序列化漏洞测试/SSRF 漏洞测试/代码注入测试/本地文件包含测试/远程文件包含测试/命令执行注入测试/缓冲区溢出测试/格式化字符串测试
业务逻辑审计	接口安全测试/请求伪造测试/完整性测试/超时检测/接口频率限制测试/工作流程绕过测试/应用误用防护测试/非预期文件类型上传测试/恶意文件上传测试
代码安全审计	内置函数安全/标准库安全审计/第三方库安全审计/注入审计/序列化算法安全审计/内存泄漏审计/资源消耗审计/异常处理审计/安全日志审计
勒索病毒威胁	数据安全保护/业务安全审计/勒索病毒防御/勒索病毒威胁解除