服務簡介
透過「專家APP檢測服務」,可以快速、全面地分析APP弱點,找出APP程式中OWASP手機十大風險;本團隊透過輔導客戶修補APP程式碼,更可以有效提升APP安全品質,在精準修正APP弱點的狀況下,同時也降低了開發人員過度投入修補APP程式的成本
APP程式威脅所在:
- 程式位於客戶端,易被逆向分析與破解
- 新興應用,程式安全開發理念尚未普及
- 預設信任的連線來源,若被惡意使用者操弄,可突破層層防禦,直接觸碰內部伺服器
目的與效益
行動APP檢測服務係由熟悉駭客思維的檢測專家,透過動靜態分析檢測APP與後端介接伺服器安全性,最後由專家依情況量身打造修補建議,藉此協助貴單位提升APP安全強度。
| APP檢測透過靜態與動態的方式分析目標 OWASP MOBILE TOP 10 RISK 2024 |
| M1 - Improper Credential Usage 不當的憑證使用 |
| M2 - Inadequate Supply Chain Security 供應鏈安全不足 |
| M3 - Insecure Authentication/Authorization 不安全的身分驗證/授權 |
| M4 - Insufficient Input/Output Validation 不足的輸入/輸出合法性檢查 |
| M5 - Insecure Communication 不安全的通信 |
| M6 - Inadequate Privacy Controls 不當的隱私控制 |
| M7 - Insufficient Binary Protections 不足的二進制保護 |
| M8 - Security Misconfiguration 安全性配置不當 |
| M9 - Insecure Data Storage 不安全的資料存儲 |
| M10 - Insufficient Cryptography 不足的加密法 |
- 靜態分析:本階段將利用工具,檢查程式安裝目錄是否存在設定檔或程式執行記錄以明文儲存。此外,檢查APP是否使用防護機制保護APP執行檔防止有心人士進行分析。
- 動態分析-APP封包側錄:若APP在運行時有連向後端伺服器之行為,本團隊將架設proxy或封包側錄的環境,由檢測人員操作APP對後端伺服器發出request,並從中側錄流量。本階段蒐集之流量,將有助於下一步驟伺服器端自動化掃描與後續人工動態檢測。
- 伺服器端自動化掃描:本階段透過自動化掃描工具系統化快速篩出後端伺服器上的漏洞。
- 動態分析-APP行為監控與調測:本階段由檢測人員針對程式上可能的邏輯漏洞、資訊洩漏漏洞、加密缺陷與身分認證漏洞進行調測,找出手機應用程式上的漏洞。
- APP資料夾內容比對:執行上述檢測步驟後,檢測人員將比對程式「剛安裝時」與「執行檢測後」兩個時期的資料夾內容。檢測人員檢測在操作過程中,手機應用程式會在資料夾內儲存哪些機敏資料,分析機敏資料或設定檔有沒有洩漏或是遭受竄改的可能性。
- 專家測試與檢測報告產出:檢測的最後由測試人員針對上述所有發現進行綜合分析,若發現已發生之漏洞可能彼此影響,產生新的漏洞或遭受攻擊的可能,則立即驗證漏洞之可利用性,最後將所有發現漏洞的過程記錄於檢測報告中,提供適切的修補建議供客戶參考。
特色與優勢
- 提供專業、全方位系統安全檢測服務:本團隊提供行動應用APP開發商進行資安檢測服務,強化行動應用APP的資安等級,並有效降低政府、企業與個人的資安風險。
- 實力堅強的資安團隊打造專業的APP檢測服務:行動應用程式APP與使用者關係密切,當程式開發缺乏資安防護意識,APP存在資安漏洞,將導致使用者個資外洩或財產損失。近來資安事件頻傳,尤其金融與交易相關的APP,牽涉到現金的交易,更應注意過程的安全性,避免成為駭客攻擊的標的。
- 全面項技術能力:本公司長期投入資通安全檢測技術的建立,建立完整資安專業團隊,提供最完備軟硬體資安檢測服務;行動應用APP資安檢測實驗室應用自主建立的「弱點掃描、源碼檢測、滲透測試、資安鑑識、資安健診、資通設備安全檢測、網站應用程式防火牆(WAF)、入侵偵測(IDS/IPS)」等檢測技術,提供客戶專業、全方位的系統安全檢測服務,進一步協助客戶掌握行動應用APP安全。
相關檢測服務: