因業務調整，部分個人測試暫不接受委托，望見諒。

檢測項目

注入漏洞、跨站腳本(XSS)、失效的身份認證、敏感數據暴露、XML外部實體(XXE)、失效的訪問控制、安全配置錯誤、跨站請求偽造(CSRF)、使用含有已知漏洞的組件、未受保護的API、緩沖區溢出、不安全的反序列化、組件間不安全通信、日志記錄與監控不足、會話固定攻擊、路徑遍歷、文件包含漏洞、命令注入、業務邏輯缺陷、權限提升漏洞、DNS劫持攻擊、SSL/TLS配置缺陷、HTTP頭注入、點擊劫持、服務端請求偽造(SSRF)、認證旁路漏洞、密碼學誤用、資源耗盡攻擊、中間人攻擊(MITM)、云配置錯誤。

檢測范圍

Web應用程序、移動端APP(Android/iOS)、API接口服務、物聯網設備固件、工業控制系統(SCADA)、數據庫管理系統(MySQL/Oracle)、云服務平臺(AWS/Azure)、容器化應用(Docker/K8s)、網絡邊界設備(防火墻/IDS)、VPN接入系統、郵件服務器(SMTP/POP3)、DNS解析服務、負載均衡設備、SD-WAN組件、VoIP通信系統、區塊鏈智能合約、車聯網ECU單元、醫療影像系統PACS、工控PLC控制器、ATM機操作系統、智能家居網關、視頻監控NVR/DVR、無線接入點(AP)、POS終端系統、電子政務平臺、電子商務交易系統、在線支付網關、數字證書CA系統、生物特征識別終端。

檢測方法

靜態代碼分析(SAST)：通過詞法分析及控制流檢查識別源代碼中的潛在缺陷。
動態應用測試(DAST)：模擬真實攻擊流量探測運行時的安全漏洞。
交互式應用測試(IAST)：結合運行時插樁技術實現精準漏洞定位。
模糊測試(Fuzzing)：構造異常輸入數據驗證程序異常處理機制。
配置審計：核查系統參數設置是否符合安全基線要求。
協議逆向分析：解析私有通信協議中的設計缺陷。
威脅建模：基于STRIDE框架進行系統性風險識別。
滲透測試：模擬高級持續性威脅(APT)實施多階段攻擊驗證。
依賴項掃描：檢查第三方組件已知CVE漏洞情況。
加密算法驗證：評估密碼學實現是否符合FIPS140-2標準。

檢測標準

ISO/IEC27001:2022信息安全管理系統要求
NISTSP800-115信息安全測試與評估技術指南
OWASPTop10-2021十大Web應用安全風險
PCIDSSv4.0支付卡行業數據安全標準
GB/T22239-2019信息安全技術網絡安全等級保護基本要求
ISO/IEC15408:2022信息技術安全評估通用準則
ENISAICT供應鏈安全指南
IEC62443工業通信網絡信息安全標準
HIPAASecurityRule醫療數據安全規范
GDPRArticle32數據處理活動安全要求

檢測儀器

BurpSuiteProfessional：正規的Web應用滲透測試平臺，支持自動化掃描與手動滲透結合。
Nessus：網絡漏洞掃描器，具備55000+個漏洞特征庫。
MetasploitFramework：開源滲透測試框架，集成2000+個攻擊模塊。
Wireshark：網絡協議分析儀，支持深度報文解析與流量模式識別。
QualysCloudPlatform：云原生漏洞管理平臺，提供持續監控能力。
CheckmarxSAST：靜態代碼分析系統支持30+編程語言的安全審查。
AcunetixWVS：自動化Web漏洞掃描器具備AJAX深度爬取能力。
FortifySCA：企業級代碼審計工具集成開發環境插件。
KaliLinux：滲透測試專用操作系統包含600+安全工具套件。
CellebriteUFED：物聯網設備固件提取與逆向分析專用設備。

檢測流程

1、咨詢：提品資料(說明書、規格書等)

2、確認檢測用途及項目要求

3、填寫檢測申請表(含公司信息及產品必要信息)

4、按要求寄送樣品(部分可上門取樣/檢測)

5、收到樣品，安排費用后進行樣品檢測

6、檢測出相關數據，編寫報告草件，確認信息是否無誤

7、確認完畢后出具報告正式件

8、寄送報告原件