泽众云测试通过专业的安全测试设备与经验丰富的实施人员从应用代码、服务器、数据库、通信交互等方面针对安全性风险进行全方位的检测；凭借专业的安全测试设备以及积累的安全测试用例为客户出具安全测试报告，并为客户提供科学的修复建议。

安全测试解决的问题

用户

1、个人信息和资料是否存在泄露风险；

2、软件安装是否存在木马及病毒；

研发

1、系统是否存在安全性的漏洞或者潜在的安全问题；

2、缺少漏洞的修复建议及修复方式；

3、缺少安全测试方案、安全测试人员及专业的安全测试工具；

4、无法全面客观地评估系统安全符合系统需求；

管理与运维

1、无法发现用户数据是否存在泄露的可能；

2、是否会因安全问题受到监管部门处罚；

3、防止对应用恶意篡改等非法操作导致正常的业务开展；

4、提升应用安全防御与加固，增强系统信息安全性，提高产品的市场竞争力；

测试场景

设备入网、项目验收、日常运维、安全检查、合规安全检查、安全风险评估。

测试类型

Web端、微信小程序、手机APP、移动端H5、主机安全、数据库安全

我们的优势

1、专业的测试设备

设备具有网络关键设备和网络安全专用产品安全认证证书（增强级）以及国家信息安全漏洞库《兼容性资质证书》；全面支持 OWASP TOP 10 检测，全方位评估应用存在的安全隐患（如：注入攻击、跨站脚本、文件包含、钓鱼攻击、信息泄漏、恶意编码、表单绕过等），协助用户满足等级保护、PCI、内控审计等规范要求。

2、专业技术团队

专职的项目经理、经验丰富的安全测试人员，团队成员全部具有安全测试工程师证书；全面专业的测试报告，报告具有人工符合机制，并且给出修复建议。

3、响应迅速

5天出具测试报告；测试方式是自动化扫描+人工测试；测试设备的病毒库实时更新。

4、丰富的测试经验

实施过的客户涵盖金融、企业、政府、高校、科研机构等多个行业；应用类型包括WEB端、H5界面、小程序、APP等；应用行业包含游戏娱乐、教育教学、联络聊天、硬件驱动、管理类等。

安全测试流程

1、商务沟通

商务沟通、需求沟通、签订合同

2、需求阶段

环境准备、计划编写/评审、风险初步分析/评审

3、设计、执行阶段

测试风险点设计、评审、手工/自动用例执行、执行结果分析

4、交付阶段

检测报告编写、检测报告评审/审核、检测报告发放

测试工具&产物

1、测试工具

工具介绍，工具图，部署结构 工具资质报告

2、测试计划&测试方案

测试计划说明和计划截图

测试方案说明和方案截图

3、测试任务&任务设计

测试用例设计与用例确认

测试任务设计和场景截图

4、测试结果&测试报告

测试结果说明和结果截图

常见安全问题与解决方案

1、HTTP X-XSS-Protection缺失

解决方案：服务器配置X-XSS-Protection头，X-XSS-Protection值为：0 禁止XSS过滤；1 启用XSS过滤（通常浏览器是默认的）。

2、HTTP Content-Security-Policy缺失

解决方案：启用 CSP方法：一种是通过 HTTP 头信息的Content-Security-Policy的字段，另一种是通过网页的meta标签。

3、相对路径覆盖(RPO)漏洞

解决方案：建议对静态文件导入使用绝对路径，将Web服务器配置为在所有页面上包括 X-Frame-Options：deny 的响应头。

安全测试工具

产品定位介绍

安全评估系统可对不同操作系统下的计算机进行漏洞扫描，分析和指出有关网络的安全漏洞及被测系统的薄弱环节并针对安全漏洞给出相关的修补措施和安全建议。

系统测试范围

1、操作系统

支持对Microsoft Windows、Sun SolariS、HP Unix、IBM AIX、RIX、Linux、BSD等操作系统进行的识别和漏洞扫描

2、浏览器

支持对IE. Google Chrome、Firefox、Opera,、MediaPlayer,、Adobe Reader等常见浏览器扫描

3、应用系统

支持对IIS、Apache、Tomcat、 Websphere等常见web应用系统的扫描

4、网络设备

支持对多个厂商路由器、交换机等网络设备，Vmware、Citrix虚拟化应用等进行漏洞扫描

系统页面展示(扫描详情)

通过图表展示系统扫描的详细情况，包括漏洞信息、网站信息等

测试计划与方案

测试计划

对每个测试阶段准入准出定义，包含工作内容、测试产物、阶段目标、时间计划等进行规定、根据不同的测试目标可进行调整

测试方案

可根据测试目的进行调整测试方案

测试用例&执行记录

安全测试用例

以下为测试用例的模板及执行记录

安全测试执行记录部分截图

测试分析与定位

漏洞概要图

通过图表直观展示系统不同安全级别的漏洞数及百分比

漏洞扫描问题统计

统计系统各个漏洞的数量及威胁等级并以柱状图展示

接口信息及漏洞分析

展示接口请求信息及漏洞描述、修复建议等，如下某接口经过漏描出现了隐藏框架的漏洞，同时也给出了一般性的修复建议

测试报告

信息安全性测试报告部分截图，测试报告部分展示