因业务调整,暂不接受个人委托测试,望谅解(高校、研究所等性质的个人除外).

检测项目

1.输入验证漏洞：检测未过滤特殊字符（如<>&'"）的HTTP参数接收场景
2.内存管理缺陷：检查缓冲区溢出（堆/栈偏移量≥256字节）、空指针解引用
3.加密强度评估：验证AES密钥长度（128/256位）、RSA模数位数（≥2048位）
4.会话安全审计：Cookie属性（HttpOnly/Secure）、令牌有效期（≤30分钟）
5.注入类漏洞：SQL语句拼接检测（单引号转义）、XSS反射型攻击向量识别

检测范围

1.Web应用程序：Java/Python/PHP等语言开发的B/S架构系统
2.移动端应用：AndroidAPK逆向工程、iOSIPA二进制分析
3.嵌入式固件：ARM/MIPS架构可执行文件逆向解析
4.云服务接口：RESTfulAPI请求签名验证与OAuth2协议实现
5.数据库系统：SQL查询日志审计与存储过程权限配置

检测方法

1.SAST静态分析：基于ISO/IEC17961:2013规范执行控制流图构建
2.DAST动态测试：采用OWASPZAP实施Fuzzing攻击（RFC3875标准）
3.IAST插桩监测：通过GB/T34943-2017评估运行时内存分配状态
4.渗透测试：依据PTES技术标准模拟SQL注入/XPath注入攻击链
5.合规性验证：对照GB/T22239-2019三级等保要求检查日志留存周期

检测设备

1.FortifySCA22.2：多语言静态代码分析仪（支持CWETop25漏洞模式）
2.CheckmarxCxSAST9.6：跨平台语义分析引擎（识别硬编码凭证）
3.BurpSuitePro2023.8：HTTP代理拦截器（支持Intruder模块爆破）
4.IDAPro8.3：反汇编调试工具（支持x86/ARM指令集动态追踪）
5.MetasploitFramework6.2：渗透测试平台（集成600+漏洞利用模块）
6.Wireshark4.0.7：网络协议分析仪（SSL/TLS握手过程解密）
7.NessusProfessional10.5：漏洞扫描器（CVE数据库实时更新）
8.Ghidra10.4：开源逆向工程工具（支持PE/ELF文件结构解析）
9.Acunetix14.9：Web应用扫描仪（AJAX/WebSocket全链路监测）
10.Radare25.8：跨架构调试框架（支持MIPS/PPC指令集反编译）

北京中科光析科学技术研究所【简称：中析研究所】

报告：可出具第三方检测报告(电子版/纸质版)。

检测周期：7~15工作日，可加急。

资质：旗下实验室可出具CMA/CNAS资质报告。

标准测试：严格按国标/行标/企标/国际标准检测。

非标测试：支持定制化试验方案。

售后：报告终身可查，工程师1v1服务。