02.15.移动应用系统安全测试服务技术白皮书v2.0.docVIP

绿盟科技安全服务技术白皮书

移动应用系统安全测试服务

■文档编号

NSF-2014SI

■密级

内部使用

■版本编号

3.0

■日期

2016/9/26

?DATE\@yyyy2016绿盟科技

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属DOCPROPERTYCompany绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经DOCPROPERTYCompany绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■版本变更记录

时间

版本

说明

修改人

2013/11/18

V1.0

文档创建、丰富内容

安全服务部

2014/12/12

V2.0

丰富内容

安全服务部

2016/9/26

V3.0

丰富内容

安全服务部

■适用性声明

本文档是主要介绍北京神州绿盟信息安全股份有限公司（以下简称“绿盟科技”）的移动应用系统安全测试服务具体内容和方法，用于客户的相关人员了解绿盟科技的该服务。

-PAGE\*ROMAN

-PAGE\*ROMANII-

目录

TOC\h\z\t附录1（绿盟科技）,1,附录2（绿盟科技）,2,附录3（绿盟科技）,3,附录4（绿盟科技）,4,标题1（绿盟科技）,1,标题2（绿盟科技）,2,标题3（绿盟科技）,3一.概述 1

1.1基本概念 1

1.1移动APP评估与传统评估区别 1

1.2移动APP安全测试必要性 2

二.移动APP安全测试介绍 3

2.1服务范围 3

2.2服务依据 3

2.3服务方式 3

2.3.1内部测试和外部测试 3

2.3.2黑盒测试和白盒测试 4

2.3.3单次服务和年度服务 4

2.4服务流程 4

2.5服务特点 5

2.6服务报告 6

2.7服务注意事项 6

2.7.1时间的控制 6

2.7.2工具使用 7

2.7.3技术手段 7

2.7.4监控措施 7

2.7.5目标对象的选择 7

2.7.6操作记录 7

2.7.7沟通 7

2.8服务报告 8

三.移动APP安全测试方法论 8

3.2通用测试用例 10

3.2.1服务端安全测试 10

3.2.2数据库安全配置 12

3.2.3客户端安全测试 13

3.2.4手机应用软件权限 14

四.相关工具 15

4.1信息收集工具 15

4.2溢出及口令破解工具 15

4.3漏洞挖掘工具 16

五.为什么选择绿盟科技 16

5.1绿盟科技简介 16

5.2典型优势 17

5.3资深荣誉 18

5.4客户收益 18

绿盟科技安全服务技术白皮书

PAGE

-PAGE19-

?DATE\@yyyy2016绿盟科技 密级：内部使用

概述

基本概念

随着无线网络和移动通信技术的发展，手机特别是智能手机功能日趋强大，由此带动APP市场也越来越火爆。但是随着手机操作系统日益标准化，黑客已经可以像攻击台式机一样针对手机系统发起攻击，同时移动APP的特点使其同时暴露在众多的网络安全风险和威胁之下，遭受到病毒、木马、蠕虫等恶意程序的攻击，所以，保护APP的安全性刻不容缓。针对这一现象，绿盟科技给出了全方位，多层面的移动APP安全测试服务项目。提供全程的手机安全管理，包括从APP研发阶段的安全介入、APP上线前的安全测试、APP上线后的安全巡检（7x24小时的监控服务）及应对突发的安全事件。

移动APP安全测试服务旨在通过一系列的技术性检查、测试和分析，挖掘移动APP应用可能存在的技术和业务层面的风险，指导客户降低和规避风险，保障应用正常上线，进而保障用户的信息安全。

移动APP安全测试服务主要是从服务器端、客户端、数据通讯及业务逻辑等多个层面来开展评估工作，工作内容涵盖相关主机和应用的安全配置分析和脆弱性检查等。该服务的目的在于帮助客户发现威胁到业务自身安全的缺陷或隐患，及时做出修补或整改，避免因为安全问题导致的经济损失。

移动APP评估与传统评估区别

传统的安全测试会综合考虑网络、系统、应用、管理、物理等多个方面的因素，综合进行安全分析，通过分析结果指导客户进行安全整改。

移动APP安全测试则是一个具有高度针对性的技术评估服务，它的重点在于通过对网络通讯、服务器端、客户端、数据和业务逻辑等多个层面进行细致的梳理、测试和分析，发现移动APP业务方面面临