代码审计服务

1.服务概述
        近年来，应用软件随着信息系统的发展，功能随之增大，相应的，程序源代码的规模也加大了，容易被利用的安全漏洞和代码后门也不再局限于以往，这就使得用传统软件测试方法来检测源代码中的安全漏洞非常困难。所以从源代码审计的角度，对源代码进行检测和分析，从而从根本上保护软件和信息系统的安全，杜绝了代码后门又能够避免潜在的漏洞安全威胁，进一步保障了信息安全。 在对应用软件和信息系统进行安全评估的时候，很多问题都是出现在软件的编码阶段，如 SQL 注入、XML实体攻击、XSS 跨站脚本攻击等。这些问题都需要通过修改软件的源代码来解决。 因此，对于应用软件和信息系统的安全问题必须从底层的源代码抓起，在其上做到最佳防范。

2.客户利益
——安全上线新系统
通过访谈、问卷、漏洞扫描、渗透测试等多种手段，全面协助客户发现系统的安全风险，帮助客户彻底摸清安全现状。

——明确安全风险点
审计人员从整套源代码切入最终明确至某个威胁点并加以验证。

——提高安全意识
有效防止管理人员遗漏缺陷，从而降低整体风险。

——提升开发人员安全技能
通过审计报告，以及安全人员与开发人员的沟通，开发人员更好的完善代码安全开发规范。

网站安全评估服务

1.服务概述
        渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。经过客户授权，采用可控制、非破坏性质的方法和手段发现目标和网络设备中存在弱点，帮助管理者知道自己网络所面临的问题。 漏洞扫描是使用自动化漏洞扫描工具对网络设备、安全设备、主机系统、web应用、数据库系统等进行漏洞检测，检测完成后再对高风险漏洞进行人工验证，主要针对的是网络或应用层上潜在的及已知漏洞。 网站安全评估服务基于漏洞扫描和渗透测试二者结合，才能得到最佳的效果，帮助客户确定最适合于公司、部门或实践的控制措施。

2.客户利益
——明确安全隐患点
通过网站安全评估服务，能够有效发现业务系统的网络架构、服务器、应用、数据库、安全管理等方面的安全漏洞和安全风险。

——提高安全意识
通过对客户信息系统的网站安全评估服务，可以使客户信息系统的相关管理者从组织战略及业务的高度，增强信息安全意识，提高安全防范水平，制定安全整改计划，消除安全隐患。

——符合合规性要求
针对客户安全需求，提供专业高效的网站安全评估服务，提前发现潜在漏洞，及时处置安全问题，规避监管部门的安全通报，从容应对监管要求的合规性检查。

3.服务内容

——前期交互
(1)确定渗透测试的范围、目标、限制条件以及服务合同细节

——实施评估
(1)使用各种公开的资源获取与测试目标相关的信息
(2)对目标系统进行探测进而列举出目标系统上存在的安全漏洞
(3)通过已有的漏洞利用程序对目标系统进行渗透
(4)自主设计出攻击目标，识别关键基础设施

——报告和总结 (1)安全措施方案建议
(2)编写综合测试报告
(3)服务总结和验收

APP安全评估服务

1.服务概述
        随着无线网络和移动通信技术的发展，智能手机功能越来越完善，由此带动了APP市场的生长，各大商家在应用商店上架APP时，会被要求提供安全评估报告，常常会遇到没有报告遭到碰壁的情况，没有提供安全评估报告的商家将面临着应用被下架等相关惩罚。由此可见，安全评估报告成了APP上架前的必然选择。 通过技术手段对APP进行漏洞扫描及渗透测试，检测移动应用自身的安全弱点，确保符合相关规定安全上架。

2.客户利益
——风险环境检测
针对APK、IPA、SDK提供自动化应用检测及报告服务，报告提供风险说明及修复建议，能够帮助客户及时发现漏洞及风险，提高APP安全防护能力。

——安全应用加固
针对安卓应用、IOS应用、SDK进行加固，防范破解、篡改、劫持、数据泄露等各类安全风险，提供基于VPM的高级SO、DEX代码加固和资源加密方案。

——符合合规性要求
针对客户安全需求，提供专业高效的安全评估服务，提前发现潜在漏洞，及时处置安全问题，规避监管部门的安全通报，从容应对监管要求的合规性检查。