业务沟通
项目评估
支付费用
安全审计
出具报告
序号 | 审计大类 | 审计子类 |
---|---|---|
1 | 开源情报采集 | 域名 Whois 信息采集 |
真实 IP 发现 | ||
子域探测 | ||
邮件服务探测 | ||
证书信息采集 | ||
Web 服务组件指纹采集 | ||
端口服务组件指纹采集 | ||
C 段服务采集 | ||
人员组织结构采集 | ||
GitHub 源码泄露发现 | ||
Google Hack 探测 | ||
人员隐私泄露发现 | ||
2 | App 安全审计 | App 环境检测审计 |
代码反编译检测 | ||
文件存储安全检测 | ||
通信加密检测 | ||
权限检测 | ||
接口安全测试 | ||
业务安全检测 | ||
WebKit 安全检测 | ||
App 缓存安全检测 | ||
App Webview DOM 安全测试 | ||
SQLite 存储安全审计 | ||
3 | 服务端安全配置审计 | CDN 服务探测 |
网络基础设施配置测试 | ||
应用平台配置管理测试 | ||
文件扩展名解析测试 | ||
备份、未链接文件测试 | ||
枚举管理接口测试 | ||
HTTP 方法测试 | ||
HTTP 严格传输测试 | ||
Web 前端跨域策略测试 | ||
Web 安全响应头部测试 | ||
弱口令及默认口令探测 | ||
管理后台发现 | ||
4 | 节点安全审计 | 节点配置安全检测 |
节点数据同步安全检测 | ||
节点交易安全审计 | ||
节点通信安全检测 | ||
节点开源代码安全审计 | ||
5 | 身份鉴别管理审计 | 角色定义测试 |
用户注册过程测试 | ||
帐户权限变化测试 | ||
帐户枚举测试 | ||
弱用户名策略测试 | ||
6 | 认证与授权审计 | 口令信息加密传输测试 |
默认口令测试 | ||
帐户锁定机制测试 | ||
认证绕过测试 | ||
记住密码功能测试 | ||
浏览器缓存测试 | ||
密码策略测试 | ||
安全问答测试 | ||
密码重置测试 | ||
OAuth 等认证模型测试 | ||
权限提升测试 | ||
授权绕过测试 | ||
双因素认证绕过测试 | ||
Hash 健壮性测试 | ||
7 | 会话管理审计 | 会话管理绕过测试 |
Cookies 属性测试 | ||
会话固定测试 | ||
会话令牌泄露测试 | ||
跨站点请求伪造(CSRF)测试 | ||
登出功能测试 | ||
会话超时测试 | ||
会话令牌重载测试 | ||
8 | 输入安全审计 | 跨站脚本(XSS)测试 |
模板注入测试 | ||
第三方组件漏洞测试 | ||
HTTP 参数污染测试 | ||
SQL 注入测试 | ||
XXE 实体注入测试 | ||
反序列化漏洞测试 | ||
SSRF 漏洞测试 | ||
代码注入测试 | ||
本地文件包含测试 | ||
远程文件包含测试 | ||
命令执行注入测试 | ||
缓冲区溢出测试 | ||
格式化字符串测试 | ||
9 | 业务逻辑审计 | 接口安全测试 |
请求伪造测试 | ||
完整性测试 | ||
超时检测 | ||
接口频率限制测试 | ||
工作流程绕过测试 | ||
应用误用防护测试 | ||
非预期文件类型上传测试 | ||
恶意文件上传测试 | ||
10 | 密码学安全审计 | 弱 SSL/TLS 加密,不安全的传输层防护测试 |
SSL Pinning 安全部署测试 | ||
非加密信道传输敏感数据测试 | ||
11 | 热钱包架构安全审计 | - |
12 | 私钥管理系统安全审计 | - |