Testin云测用户帮助中心
            知识库 Testin云测知识库 常见问题

            安全测试 FAQ

            一、 移动应用安全扫描FAQ

            1. 检测范围覆盖APP基本信息、配置安全、代码安全、组件安全、数据安全、加密安全、通信安全等多维度,这几个维度的含义是?


            • APP基本信息:包括包名、包大小、MD5等应用的特征信息
            • 配置安全:Android配置相关的安全风险监测,比如权限配置、调试式配置、数据库访问权限配置等
            • 代码安全:Android客户端编码规范方面的风险与漏洞检测
            • 组件安全:Android四大组件相关的安全性检测
            • 数据安全:数据调用、存储等方面的安全性检测
            • 加密安全:移动应用客户端编码过程中,密码使用相关的安全性检测
            • 通信安全:移动应用客户端与服务端交互过程的安全性检测


            2. 你们测试的根据是什么?

            • 《中华人民共和国网络安全法》
            • 《移动互联网应用软件安全评估大纲》
            • 《信息安全技术移动智能终端个人信息保护技术要求》
            • YD/T 1438-2006 数字移动台应用层软件功能要求和测试方法》
            • YD/T 2307-2011 数字移动通信终端通用功能技术要求和测试方法》
            • 《电子银行业务管理办法》
            • 《电子银行安全评估指引》
            • 《中国金融移动支付客户端技术规范》
            • 《中国金融移动支付应用安全规范》
            • 《移动互联网应用程序信息服务管理规定》

            3. 企业版和专业版的差别?

            (1)部署方式不同:

                    专业版:Testin云测云端部署。

                    企业版:企业本地部署-物理机或云端。

            (2)交付方式不同:

                    专业版:交付账户信息,登录后即可使用。

                    企业版:提供软件安装包、License证书和操作手册说明。

            (3)引擎数量不同:

                 专业版:双引擎

                 企业版:引擎数量可选

            (4)检测点数量不同:

                 专业版:70+个

                 企业版:80+个

            (5)版本升级次序不同:

                 专业版:享有系统更新次高优先权

                 企业版:享有系统更新最高优先权

            (6)服务不同:

                 专业版:提供风险定位与修复方案

                 企业版:提供风险定位与修复方案并提供个性化功能

                 个性化功能:针对不同行业应用特征,为客户提供一系列的定制化开发部署,如:支持自定义扫描策略管理,并可以将自定义策略与应用程序关联,便捷进行应用安全管理评估;支持安全趋势管理,可针对不同应用间、同一应用不同版本间提供安全趋势统计分析与可视化展示,随时掌握漏洞趋势等。

            4. 你们这个移动应用扫描与其他厂商的差别是?

            (1)质量优势,检测范围全面

            我们的检测点数量完全覆盖并超出行业友商如梆梆,爱加密,娜迦等是业内全面、权威的;并具有灵活的部署模式和多种可选的规格配置。

            2)价格优势

                      单价优势,比梆梆,爱加密同样规格的产品报价低。

                      报价灵活,配置规格灵活可选。

            3)独有的亮点功能

                      扫描策略管理功能,提供扫描策略自定义功能,并可以将自定义策略与应用程序关联。

            5. iOS检测怎么收费?

            我们iOS检测现阶段是免费提供的,后续情况,您可持续关注我们官网动态获取最新信息。

            6. 如何付费购买?

            请您留下您的联系方式,我们将安排商务人员为您解答。

            7. 试用版报告以后会一直展示风险详情及修复建议/不打马赛克吗?

            目前支持展示风险详情与修复建议,后续则会根据业务具体情况,您可持续关注我们官网动态获取最新信息。

            8. 企业版的个性化功能是什么?

            依据您的需求,为您进行定制化开发,如:风险来源区分、自定义扫描策略等。

            9. 每种服务规格对应的检测项具体是多少个?

            目前试用版为70,专业版70+,企业版80+,具体详情请您留下相关信息,我们将安排专业人员为您解答 。

            10. 为什么会出现检测失败?

            应用安装包损坏或格式不符等原因会导致提测失败,具体详情请您留下相关信息,我们将安排技术人员为您解答。

            11. 以前提测过的应用,在进行版本更新后,再次提测是否需重新上传安装包?

                需要,请您上传更新后的应用安装包进行提测。

            二、 安全渗透测试服务FAQ

             

            1. 安全渗透测试有几种版本的服务?

            主要有两种版本的服务,一是针对Android应用的基础版服务,一种是针对Android应用,iOS应用,微信小程序,H5/Web 的专业版服务。

            2. 安全渗透测试的基础版和专业版的服务有什么区别?

            (1)测试范围不同:

                    基础版:只针对Android应用。

                    专业版:针对Android应用,iOS应用,微信小程序,H5/Web。

            2)检测点不同:

                 基础版:支持Android应用6个维度超过70个检测项目

                 专业版:支持Android应用14个维度超过150个检测项目 

                                支持iOS应用14个维度90个检测项目

                                支持微信小程序应用6个维度45个检测项目

                                支持H5/Web应用6个维度67个检测项目

            3)交付周期不同:

                       基础版:3个工作日内。

                       专业版:5个工作日内。

            4)服务内容不同:

            基础版:使用自动化测评工具做安全检测。针对其中高安全风险的业务逻辑,由专业的安全工程师,提供非破坏性的深度校验,并给出专业的测评报告。

            专业版:由专业的安全工程师,在获得许可的前提下,提供非破坏性的安全检测服务。整合测试过程中的操作方法、截图、日志等信息,形成专业的测评报告。

                  

            3. 安全渗透测试的测试依据是?

            Testin云测安全渗透测试服务,以保障测试的先进性、完备性、规范性为原则,依据国内外有关标准如下:

            • 国内标准与规范  
            1. ISO/IEC 27001:2005信息技术-安全技术-信息系统规范与使用指南
            2. ISO/IEC TR 15443-1:2005信息技术安全保障框架
            3. ISO/IEC PDTR 19791:2004信息技术-安全技术-运行系统安全评估
            4. GB/T 20984-2007信息安全技术-信息安全风险评估规范
            5. GB/T 18336-2015信息技术-安全技术-信息技术安全性评估准则
            6. GB/T 20984-2007信息安全技术-信息安全风险评估规范
            • 国际标准或规范
            1. OWASP OWASP_Testing_Guide_v3
            2. OWASP OWASP_Development_Guide_2005
            3. OWASP OWASP_Top_10_2010_Chinese_V1.0

            版本进行脆弱性检测与管理。属于低成本高效的检测方案,推荐在应用小版本迭代时采用。

            4.测试范围是?

            可以对Android APP、iOS APP、WEB和微信公众号提供测试,针对不同对象提供的测试范围有所不同。

            Android主要有6个部分,应用基本信息、环境安全、客户端安全、业务安全、通信安全、服务器端。

            iOS 主要有4个部分:客户端安全、通信安全、服器端、业务安全。

            5. 测试方法?

            自动化工具检测已知的漏洞,人工手动测试作为自动测试的一种补充,同时也是最主要的。主要对自动测试结果的验证、个性化页面信息的人工甄别、JavaScript测试、提交数据的精细化测试、业务逻辑的安全测试。

            6. 交付内容?

              一个测试报告+报告解读(如果有需要的)

            7. 开始测试前需要我们怎么配合?

              授权协议,保密协议(一般客户要求)、测试账号(2个),访问权限。

            APP:应用包(未加固的,因为在测试时,工程师需要对应用包进行破解,会增加检测的时间和成本)

            WEB:域名/IP信息

            8. 渗透测试服务能否免费体验呢?

            暂时不提供渗透测试的免费服务。如果需要,我们可以为您提供移动应用安全扫描试用版服务的。

            9. Testin云测和梆梆、爱加密这些友商在渗透测试这一块有什么区别?

            专注:Testin云测在移动测试行业是国内的龙头企业,在移动测试业务上是领头羊的角色,同时Testin云测也是在安全行业内唯一一家,将核心业务定位在移动端渗透测试的企业,我们在移动安全领域投入更多资源,技术更加专注,交付质量更高。

            范围:最完整的测试覆盖范围与测试深度 3 层15 个维度140个检测点。

            交付报告:真正落地的,严格的质量管控流程,同时可以提供审计日志;不限次数的报告解读服务,帮助客户修复安全漏洞,解决安全隐患的同时,提高客户技术人员的安全意识、能力。

            10. 业务间定位问题


            • 为什么做了扫描还要做渗透?

            扫描检测客户端风险,而渗透除了测试客户端还会测试通信过程以及相关服务器端风险,检测范围更广、更深入。推荐在应用大版本更新后采用。

            • 为什么做了渗透还要做扫描?

            渗透是一次性服务,而扫描以年为期付费,以便快速对同一个APP不同。

            不同版本进行脆弱性检测与管理。属于低成本高效的检测方案,推荐在应用小版本迭代时采用。

            注:业务命名(参见合同),页面信息一起同步修改

             


            更新的: 30 Jan 2019 04:37 PM
            有帮助的?  
            帮助我们使这篇文章更好
            0 0