运作方式

应用程序安全评估由卡巴斯基专家执行，他们具有丰富的实践经验，对各种应用程序的运作方式有深刻的理解，可以分析其功能和业务逻辑。该专家分析与各种自动化工具、分析器和脚本相结合。

客户面临不提供用户身份验证或自我注册的门户

• 应用程序

  • 官方网站；
  • 新闻门户

• 入侵者类型

  • 没有账户的用户；
  • 之前对应用程序一无所知的用户

• 评估做法

  黑匣子— 无需用户凭据进行评估，以揭露可供没有任何权限的外部攻击者使用的漏洞：

  • - 检查所有进入点和输入参数；
  • - 深度模糊和行为分析；
  • - 识别应用程序组件（框架、插件、库等）；
  • - 识别潜在的数据泄露和诈骗方案；
  • - 分析管理或调试工具和脚本

查看更少信息 

身份验证后提供具有多用户角色的资源

• 应用程序

  • 客户端/公司门户；
  • ERP/CRM；
  • 在线银行系统

• 入侵者类型

  • 具有基本权限的典型用户；
  • 具有特定角色的用户（例如管理员或合作伙伴）

• 评估做法

  灰匣子— 揭示可供经过验证的用户使用的漏洞：

  • - 分析访问权限区隔，包括横向和纵向权限、权限提升潜力；
  • - 身份验证机制分析，包括单点登录、多因素身份验证和会话管理

查看更多信息 

具有复杂结构和业务逻辑的应用程序

• 应用程序

  • 内部开发；
  • 由不受信任的第三方开发

• 入侵者类型

  • 具有完整权限的开发员；
  • 关于应用程序具有高级内部知识的用户

• 评估做法

  白匣子— 源代码和具有完整权限的架构分析：

  • - 完整或部分测试台部署
  • - 源代码分析，覆盖所有输入参数和潜在危险的功能和方法
  • - 加密相关检查
  • - 静止/传输中的数据安全

查看更多信息