服務簡介

透過「專家APP檢測服務」,可以快速、全面地分析APP弱點,找出APP程式 中OWASP手機十大風險;本團隊透過輔導客戶修補APP程式碼,更可以有效提升APP安全品質,在精準修正APP弱點的狀況下,同時也降低了開發人員過度投入修補APP程式的成本

APP程式威脅所在:

1. 程式位於客戶端,易被逆向分析與破解
2. 
新興應用,程式安全開發理念尚未普及
3. 
預設信任的連線來源,若被惡意使用者操弄,可突破層層防禦,直接觸碰內部伺服器

目的與效益

行動APP檢測服務係由熟悉駭客思維的檢測專家,透過動靜態分析檢測APP與後端介接伺服器安全性,最後由專家依情況量身打造修補建議,藉此協助 貴單位提升APP安全強度。

APP檢測透過靜態與動態的方式分析目標OWASP MOBILE TOP 10 RISK
M1 - Improper Platform Usage
M2 - Insecure Data Storage
M3 - Insecure Communication
M4 - Insecure Authentication
M5 - Insufficient Cryptography
M6 - Insecure Authorization
M7 - Client Code Quality
M8 - Code Tampering
M9 - Reverse Engineering
M10 - Extraneous Functionality


● 靜態分析
本階段將利用工具,檢查程式安裝目錄是否存在設定檔或程式執行記錄以明文儲存。此外,檢查App是否使用防護機制保護App執行檔防止有心人士進行分析。

● 動態分析-App封包側錄
App在運行時有連向後端伺服器之行為,本團隊將架設proxy或封包側錄的環境,由檢測人員操作App對後端伺服器發出request,並從中側錄流量。本階段蒐集之流量,將有助於下一步驟伺服器端自動化掃描與後續人工動態檢測。

● 伺服器端自動化掃描
本階段透過自動化掃描工具系統化快速篩出後端伺服器上的漏洞。

● 動態分析-App行為監控與調適
本階段由檢測人員針對程式上可能的邏輯漏洞、資訊洩漏漏洞、加密缺陷與身分認證漏洞進行調試,找出手機應用程式上的漏洞。

● App資料夾內容比對
執行上述檢測步驟後,檢測人員將比對程式「剛安裝時」與「執行檢測後」兩個時期的資料夾內容。檢測人員檢測在操作過程中,手機應用程式會在資料夾內儲存哪些機敏資料,分析機敏資料或設定檔有沒有洩漏或是遭受竄改的可能性。

● 專家測試與檢測報告產出
檢測的最後由測試人員針對上述所有發現進行綜合分析,若發現已發生之漏洞可能彼此影響,產生新的漏洞或遭受攻擊的可能,則立即驗證漏洞之可利用性,最後將所有發現漏洞的過程記錄於檢測報告中,提供適切的修補建議供客戶參考。

特色與優勢

● 提供專業、全方位系統安全檢測服務

 本團隊提供行動應用APP開發商進行資安檢測服務,強化行動應用APP的資安等級,並有效降低政府、企業與個人的資安風險。

● 實力堅強的資安團隊 打造專業的APP檢測服務

行動應用程式APP與使用者關係密切,當程式開發缺乏資安防護意識,APP存在資安漏洞,將導致使用者個資外洩或財產損失。近來資安事件頻傳,尤其金融與交易相關的APP,牽涉到現金的交易,更應注意過程的安全性,避免成為駭客攻擊的標的。

● 本公司長期投入資通安全檢測技術的建立,建立完整資安專業團隊,提供最完備軟硬體資安檢測服務;行動應用APP資安檢測實驗室應用自主建立的「弱點掃瞄、源碼檢測、滲透測試、資安鑑識、資安健診、資通設備安全檢測、網站應用程式防火牆(WAF)、入侵偵測(IDS/IPS)」等檢測技術,提供客戶專業、全方位的系統安全檢測服務,進一步協助客戶掌握行動應用APP安全。