流程
业务沟通
项目评估
支付费用
安全审计
出具报告
交易所安全审计项
| 序号 | 审计大类 | 审计子类 |
|---|---|---|
| 1 | 开源情报采集 | 域名 Whois 信息采集 |
| 真实 IP 发现 | ||
| 子域探测 | ||
| 邮件服务探测 | ||
| 证书信息采集 | ||
| Web 服务组件指纹采集 | ||
| 端口服务组件指纹采集 | ||
| C 段服务采集 | ||
| 人员组织结构采集 | ||
| GitHub 源码泄露发现 | ||
| Google Hack 探测 | ||
| 人员隐私泄露发现 | ||
| 2 | App 安全审计 | App 环境检测审计 |
| 代码反编译检测 | ||
| 文件存储安全检测 | ||
| 通信加密检测 | ||
| 权限检测 | ||
| 接口安全测试 | ||
| 业务安全检测 | ||
| WebKit 安全检测 | ||
| App 缓存安全检测 | ||
| App Webview DOM 安全测试 | ||
| SQLite 存储安全审计 | ||
| 3 | 服务端安全配置审计 | CDN 服务探测 |
| 网络基础设施配置测试 | ||
| 应用平台配置管理测试 | ||
| 文件扩展名解析测试 | ||
| 备份、未链接文件测试 | ||
| 枚举管理接口测试 | ||
| HTTP 方法测试 | ||
| HTTP 严格传输测试 | ||
| Web 前端跨域策略测试 | ||
| Web 安全响应头部测试 | ||
| 弱口令及默认口令探测 | ||
| 管理后台发现 | ||
| 4 | 节点安全审计 | 节点配置安全检测 |
| 节点数据同步安全检测 | ||
| 节点交易安全审计 | ||
| 节点通信安全检测 | ||
| 节点开源代码安全审计 | ||
| 5 | 身份鉴别管理审计 | 角色定义测试 |
| 用户注册过程测试 | ||
| 帐户权限变化测试 | ||
| 帐户枚举测试 | ||
| 弱用户名策略测试 | ||
| 6 | 认证与授权审计 | 口令信息加密传输测试 |
| 默认口令测试 | ||
| 帐户锁定机制测试 | ||
| 认证绕过测试 | ||
| 记住密码功能测试 | ||
| 浏览器缓存测试 | ||
| 密码策略测试 | ||
| 安全问答测试 | ||
| 密码重置测试 | ||
| OAuth 等认证模型测试 | ||
| 权限提升测试 | ||
| 授权绕过测试 | ||
| 双因素认证绕过测试 | ||
| Hash 健壮性测试 | ||
| 7 | 会话管理审计 | 会话管理绕过测试 |
| Cookies 属性测试 | ||
| 会话固定测试 | ||
| 会话令牌泄露测试 | ||
| 跨站点请求伪造(CSRF)测试 | ||
| 登出功能测试 | ||
| 会话超时测试 | ||
| 会话令牌重载测试 | ||
| 8 | 输入安全审计 | 跨站脚本(XSS)测试 |
| 模板注入测试 | ||
| 第三方组件漏洞测试 | ||
| HTTP 参数污染测试 | ||
| SQL 注入测试 | ||
| XXE 实体注入测试 | ||
| 反序列化漏洞测试 | ||
| SSRF 漏洞测试 | ||
| 代码注入测试 | ||
| 本地文件包含测试 | ||
| 远程文件包含测试 | ||
| 命令执行注入测试 | ||
| 缓冲区溢出测试 | ||
| 格式化字符串测试 | ||
| 9 | 业务逻辑审计 | 接口安全测试 |
| 请求伪造测试 | ||
| 完整性测试 | ||
| 超时检测 | ||
| 接口频率限制测试 | ||
| 工作流程绕过测试 | ||
| 应用误用防护测试 | ||
| 非预期文件类型上传测试 | ||
| 恶意文件上传测试 | ||
| 10 | 密码学安全审计 | 弱 SSL/TLS 加密,不安全的传输层防护测试 |
| SSL Pinning 安全部署测试 | ||
| 非加密信道传输敏感数据测试 | ||
| 11 | 热钱包架构安全审计 | - |
| 12 | 私钥管理系统安全审计 | - |
