一、 移动应用安全扫描FAQ

1. 检测范围覆盖APP基本信息、配置安全、代码安全、组件安全、数据安全、加密安全、通信安全等多维度，这几个维度的含义是？

• APP基本信息：包括包名、包大小、MD5等应用的特征信息
  

• 配置安全：Android配置相关的安全风险监测，比如权限配置、调试式配置、数据库访问权限配置等
  

• 代码安全：Android客户端编码规范方面的风险与漏洞检测
  

• 组件安全：Android四大组件相关的安全性检测
  

• 数据安全：数据调用、存储等方面的安全性检测
  

• 加密安全：移动应用客户端编码过程中，密码使用相关的安全性检测
  

• 通信安全：移动应用客户端与服务端交互过程的安全性检测
  

2. 你们测试的根据是什么？

• 《中华人民共和国网络安全法》
  
• 《移动互联网应用软件安全评估大纲》
  
• 《信息安全技术移动智能终端个人信息保护技术要求》
  
• 《YD/T 1438-2006 数字移动台应用层软件功能要求和测试方法》
  
• 《YD/T 2307-2011 数字移动通信终端通用功能技术要求和测试方法》
  
• 《电子银行业务管理办法》
  
• 《电子银行安全评估指引》
  
• 《中国金融移动支付客户端技术规范》
  
• 《中国金融移动支付应用安全规范》
  
• 《移动互联网应用程序信息服务管理规定》
  

3. 企业版和专业版的差别？

        专业版：Testin云测云端部署。

        企业版：企业本地部署-物理机或云端。

        专业版：交付账户信息，登录后即可使用。

        企业版：提供软件安装包、License证书和操作手册说明。

     专业版：双引擎

     企业版：引擎数量可选

     专业版：70+个

     企业版：80+个

     专业版：享有系统更新次高优先权

     企业版：享有系统更新最高优先权

     专业版：提供风险定位与修复方案

     企业版：提供风险定位与修复方案并提供个性化功能

     个性化功能：针对不同行业应用特征，为客户提供一系列的定制化开发部署，如：支持自定义扫描策略管理，并可以将自定义策略与应用程序关联，便捷进行应用安全管理评估；支持安全趋势管理，可针对不同应用间、同一应用不同版本间提供安全趋势统计分析与可视化展示，随时掌握漏洞趋势等。

4. 你们这个移动应用扫描与其他厂商的差别是？

我们的检测点数量完全覆盖并超出行业友商如梆梆，爱加密，娜迦等是业内全面、权威的；并具有灵活的部署模式和多种可选的规格配置。

          单价优势，比梆梆，爱加密同样规格的产品报价低。

          报价灵活，配置规格灵活可选。

5. iOS检测怎么收费？

我们iOS检测现阶段是免费提供的，后续情况，您可持续关注我们官网动态获取最新信息。

6. 如何付费购买？

请您留下您的联系方式，我们将安排商务人员为您解答。

7. 试用版报告以后会一直展示风险详情及修复建议/不打马赛克吗？

目前支持展示风险详情与修复建议，后续则会根据业务具体情况，您可持续关注我们官网动态获取最新信息。

8. 企业版的个性化功能是什么？

依据您的需求，为您进行定制化开发，如：风险来源区分、自定义扫描策略等。

9. 每种服务规格对应的检测项具体是多少个？

目前试用版为70，专业版70+，企业版80+，具体详情请您留下相关信息，我们将安排专业人员为您解答 。

10. 为什么会出现检测失败？

应用安装包损坏或格式不符等原因会导致提测失败，具体详情请您留下相关信息，我们将安排技术人员为您解答。

11. 以前提测过的应用，在进行版本更新后，再次提测是否需重新上传安装包？

    需要，请您上传更新后的应用安装包进行提测。

二、 安全渗透测试服务FAQ

1. 安全渗透测试有几种版本的服务？

主要有两种版本的服务，一是针对Android应用的基础版服务，一种是针对Android应用，iOS应用，微信小程序，H5/Web 的专业版服务。

2. 安全渗透测试的基础版和专业版的服务有什么区别？

        基础版：只针对Android应用。

        专业版：针对Android应用，iOS应用，微信小程序，H5/Web。

     基础版：支持Android应用6个维度超过70个检测项目

     专业版：支持Android应用14个维度超过150个检测项目 

                    支持iOS应用14个维度90个检测项目

                    支持微信小程序应用6个维度45个检测项目

                    支持H5/Web应用6个维度67个检测项目

           基础版：3个工作日内。

           专业版：5个工作日内。

基础版：使用自动化测评工具做安全检测。针对其中高安全风险的业务逻辑，由专业的安全工程师，提供非破坏性的深度校验，并给出专业的测评报告。

专业版：由专业的安全工程师，在获得许可的前提下，提供非破坏性的安全检测服务。整合测试过程中的操作方法、截图、日志等信息，形成专业的测评报告。

3. 安全渗透测试的测试依据是？

Testin云测安全渗透测试服务，以保障测试的先进性、完备性、规范性为原则，依据国内外有关标准如下：

• 国内标准与规范  
  

1. ISO/IEC 27001：2005信息技术-安全技术-信息系统规范与使用指南
   
2. ISO/IEC TR 15443-1：2005信息技术安全保障框架
   
3. ISO/IEC PDTR 19791：2004信息技术-安全技术-运行系统安全评估
   
4. GB/T 20984-2007信息安全技术-信息安全风险评估规范
   
5. GB/T 18336-2015信息技术-安全技术-信息技术安全性评估准则
   
6. GB/T 20984-2007信息安全技术-信息安全风险评估规范
   

• 国际标准或规范
  

1. OWASP OWASP_Testing_Guide_v3
   
2. OWASP OWASP_Development_Guide_2005
   
3. OWASP OWASP_Top_10_2010_Chinese_V1.0
   

版本进行脆弱性检测与管理。属于低成本高效的检测方案，推荐在应用小版本迭代时采用。

4．测试范围是？

可以对Android APP、iOS APP、WEB和微信公众号提供测试，针对不同对象提供的测试范围有所不同。

Android主要有6个部分，应用基本信息、环境安全、客户端安全、业务安全、通信安全、服务器端。

iOS 主要有4个部分：客户端安全、通信安全、服器端、业务安全。

5. 测试方法？

自动化工具检测已知的漏洞，人工手动测试作为自动测试的一种补充，同时也是最主要的。主要对自动测试结果的验证、个性化页面信息的人工甄别、JavaScript测试、提交数据的精细化测试、业务逻辑的安全测试。

6. 交付内容？

  一个测试报告+报告解读（如果有需要的）

7. 开始测试前需要我们怎么配合？

  授权协议，保密协议（一般客户要求）、测试账号（2个），访问权限。

APP：应用包（未加固的，因为在测试时，工程师需要对应用包进行破解，会增加检测的时间和成本）

WEB：域名/IP信息

8. 渗透测试服务能否免费体验呢？

暂时不提供渗透测试的免费服务。如果需要，我们可以为您提供移动应用安全扫描试用版服务的。

9. Testin云测和梆梆、爱加密这些友商在渗透测试这一块有什么区别？

专注：Testin云测在移动测试行业是国内的龙头企业，在移动测试业务上是领头羊的角色，同时Testin云测也是在安全行业内唯一一家，将核心业务定位在移动端渗透测试的企业，我们在移动安全领域投入更多资源，技术更加专注，交付质量更高。

范围：最完整的测试覆盖范围与测试深度 ，3 层15 个维度140个检测点。

交付报告：真正落地的，严格的质量管控流程，同时可以提供审计日志；不限次数的报告解读服务，帮助客户修复安全漏洞，解决安全隐患的同时，提高客户技术人员的安全意识、能力。

10. 业务间定位问题

• 为什么做了扫描还要做渗透？
  

扫描检测客户端风险，而渗透除了测试客户端还会测试通信过程以及相关服务器端风险，检测范围更广、更深入。推荐在应用大版本更新后采用。

• 为什么做了渗透还要做扫描？
  

渗透是一次性服务，而扫描以年为期付费，以便快速对同一个APP不同。

不同版本进行脆弱性检测与管理。属于低成本高效的检测方案，推荐在应用小版本迭代时采用。

注：业务命名（参见合同），页面信息一起同步修改