因业务调整,暂不接受个人委托测试,望谅解(高校、研究所等性质的个人除外).

检测项目

1.令牌生成测试：令牌创建流程合规性检查、随机性评估、签名算法有效性验证、结构完整性检测、嵌入信息规范性审查。

2.令牌传输测试：传输通道安全性检验、加密协议符合性检查、明文泄露风险扫描、篡改防护机制验证、中间人攻击模拟测试。

3.令牌存储测试：客户端存储安全性评估、服务端存储保护措施检查、敏感信息加密情况验证、访问控制策略审查。

4.令牌验证测试：验证逻辑完整性检测、签名校验有效性测试、时间戳一致性审查、重复提交防护检查。

5.令牌过期机制测试：有效期设置合理性评估、自动失效处理测试、续期流程安全性验证、过期后访问控制检查。

6.令牌刷新测试：刷新令牌生成安全性检验、刷新流程防劫持能力测试、新旧令牌切换机制审查、刷新频率控制检测。

7.权限控制测试：令牌权限范围验证、最小权限原则符合性检查、越权操作风险评估、角色分离有效性测试。

8.重放攻击防护测试：重放攻击模拟与防御能力检验、一次性令牌机制验证、时间窗口限制检查、请求唯一性标识检测。

9.令牌泄露风险测试：日志记录中的令牌脱敏情况审查、异常场景下的令牌暴露检测、侧信道攻击防护评估。

10.令牌注销测试：主动注销机制有效性验证、黑名单处理及时性检查、注销后访问阻断测试、多设备同步注销能力评估。

11.跨域认证测试：跨域令牌传递安全性检验、来源验证机制检查、令牌共享风险评估。

检测范围

网页登录系统、移动端应用接口、后台管理系统、第三方服务集成接口、物联网设备认证模块、支付交易系统、文件共享平台、企业内部办公系统、社交媒体应用、在线教育平台、医疗信息系统、物流管理系统、金融服务平台、电子商务网站、政务服务系统

检测设备

1.网络流量分析仪：实时捕获并解析令牌传输数据包，识别加密与传输中的异常特征。

2.代理拦截工具：模拟中间人环境，测试令牌在转发过程中的安全防护效果。

3.自动化脚本测试平台：批量执行令牌生成、验证及攻击模拟测试用例。

4.加密强度评估设备：检测令牌签名算法及加密参数的安全强度。

5.日志审计分析系统：审查系统中令牌相关日志记录的完整性与脱敏情况。

6.渗透测试工作站：开展针对令牌机制的模拟攻击与漏洞挖掘工作。

7.时间同步校验仪器：验证令牌时间戳与服务器时间的偏差及过期处理逻辑。

8.存储安全扫描设备：检查客户端与服务端令牌存储位置的访问控制与加密状态。

9.协议一致性测试仪：检验令牌认证流程与安全协议要求的符合程度。

10.综合安全评估平台：整合多项测试模块，对令牌认证体系进行整体风险量化分析。

北京中科光析科学技术研究所【简称：中析研究所】

报告：可出具第三方检测报告(电子版/纸质版)。

检测周期：7~15工作日，可加急。

资质：旗下实验室可出具CMA/CNAS资质报告。

标准测试：严格按国标/行标/企标/国际标准检测。

非标测试：支持定制化试验方案。

售后：报告终身可查，工程师1v1服务。