代码审计

Code audit

源代码安全审计

采用分析工具和人工审查的组合审计方式,依据CVE、OWASP、BISMM、SANS等公共漏洞库和字典,以及结合自我积累的源代码审计资源和自动化工具对各种语言编写的源代码进行安全审计服务,分析应用程序的安全状态,提供代码级修复建议,从根源修复漏洞。

渗透测试
Penetration test

除应用、主机等常规测试服务外,还提供基于业务逻辑的渗透测试服务,帮助企业发现业务逻辑漏洞,降低损失。

保服务提供商的优势,结合相关法律法规,给出合规专业的整改加固建议。

渗透测试

找出目标系统是否存在可以被攻击者真实利用的漏洞以及由此引起的风险大小,从而为制定相应的应对措施与解决方案提供实际的依据。通过分析各应用系统在应用层面方面存在的弱点和风险,为安全加固和改进建议提供依据。

漏洞扫描

Vulnerability scanning

漏洞扫描服务是由安全工程师通过对网站、应用系统的扫描,了解网络安全设置和运行的应用服务,全面扫描网站、应用程序中存在的漏洞,避免漏洞被黑客利用影响网站安全。

服务内容

漏洞扫描服务能够全方位检测服务器存在的脆弱性,发现系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,帮助安全管理人员先于攻击者发现安全问题,及时进行修补,包括但不仅限于:

SQL注入攻击漏洞(支持基于GET/POST等方式提交的数据检测)

失效的身份认证(过期会话产生的安全隐患)

敏感信息泄露(包括但不限于服务器信息,邮箱,银行卡,身份证等敏感信息)

XXE漏洞

失效的访问控制(身份认证和会话管理相关的应用程序功能错误实现,导致的安全隐患)

安全配置错误(包括但不限于服务器网站配置错误,导致的安全隐患)

跨站脚本XSS(支持GET、 POST方式的跨站攻击漏洞)

不安全反序列化漏洞

使用含有已知漏洞的组件(持续更新主流的WEB应用及组件漏洞规则)

目录遍历及CSRF漏洞(有可能存在CSRF跨域及文件目录遍历的漏洞)

自动更新

扫描报告(含专业修复建议)

自动化运维

Automatic operation and maintenance

自动化运维

建立智能、自动化、准确的自动化运维管理工具,提高整体运维水平,使网络系统更可靠、更高效、更安全,已成为当前提高工作效率、减去运维工程师日常工作压力、提升运维工作能力的重要工作之一,助力企业提升运维效率,降低运维成本,规范化、标准化运维工 作,支撑企业业务快速稳定发展。

防注入

Anti injection

进程保护

  1. 内核态的反调试、反注入和反挂钩有效对抗Ollydbg、Windbg等调试工具。
  2. 完美隐藏系统API调用过程,有效躲避黑客的跟踪、分析和挂钩。

内存保护

  1. 有效保护内存数据信息无法读取和被修改。
  2. 例如读取账号密码、交易信息和密钥等,或者修改授权信息和游戏装备数据等。

全网拦截

  1. 基于特征库第一时间拦截,减少整包更新损失,实现闪退控制。
  2. 可以拦截已知逆向工具、破解补丁、盗号模块和非法软件。

精准定位安全隐患

  1. 反黑引擎的数据中心可以实时数据统计查询。
  2. 非正常用户统计分析。
  3. 随时查看外挂检测和拦截趋势图。

主动反制盗版行为

  1. 对于盗版等非法行为可以采取反制措施。
  2. 例如消息提醒、软件执行变缓慢或者自定义操作。

反调试器、反修改器

  1. 反调试器、反修改器如CheatEngine和WPE封包修改工具。

风险评估

risk assessment

(1)资产评估

  • 业务调研
  • 资产分类
  • 资产赋值

(2)威胁评估

  • 威胁识别
  • 威胁分析
  • 威胁赋值

(3)脆弱性评估

  • 技术管理脆弱性识别
  • 管理脆弱性识别
  • 脆弱性赋值

(4)风险综合分析

  • 风险综合识别
  • 风险模型计算
  • 风险接收准则
  • 风险接收准则

(5)风险处置计划

  • 控制措施
  • 预期效果
  • 进度安排
  • 责任部门

风险评估

信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析待评估信息系统所面临的威胁和及其脆弱性等方面的问题,评估安全事件一旦发生可能造成的危害程度,并提出有针对性的抵御威胁的防护对策和整改措施,以此来防范和规避信息安全风险,为最大限度地保障信息安全提供科学依据。

APP扫描

App scanning

APP扫描

APP漏洞检测提供从应用安全、源码安全及数据安全方面对从应用安全、源码安全、数据安全、应用漏洞、恶意行为、程序机密性安全等方面安全等内容进行静态、动态及人工分析等角度对移动应用做全面的检测并给出针对性的安全修复建议。
程序机密性检测:有代码混淆检测、DEX保护监测、 so保护监测、程序签名检测、完整性校验、权限管理检测
组件安全检测:有Activity安全、Broadcast Receiver安全、Service安全、Content Provider安全、Intent安全、WebView安全
数据安全检测:有调试信息、输入检查、数据传输完整性、远程数据通讯协议、证书验证、数据访问控制 重放攻击、会话安全
业务安全检测:包括用户登录、密码管理、支付安全、身份认证、超时设置

应急响应

Emergency response

应急响应

当客户系统遭受系统被入侵、重要信息被窃取、系统拒绝服务、网络流量异常等安全事件时提供入侵原因分析、业务损失评估系统恢复加固、以及黑客溯源取证的安全服务,减少因黑客入侵带来的损失。

准备阶段

了解安全事件概况做好数据备份

应急处理阶段

对攻击进行抑制清理恶意程序,恢复系统正常运行

入侵原因分析

分析系统和日志查找入侵原因

报告阶段

总结应急相关过程,提高应急响应报告。

周期管理

Cycle management

周期管理

从需求阶段、设计阶段、开发阶段、测试阶段、维护阶段、废弃阶段总览应用系统生命周期管理,在不同的阶段提供不同的管理要求和安全要求,在整个生命周期中保护应用系统的总体安全。

等级保护

Grade protection

确定系统等级
设计安全方案
安全整改实施
安全测评
安全运行维护

安全咨询

Safety consultation

安全需求

成功案例

Success Clients

壹柒捌

购物商城--年轻人消费的好平台

华豫跑腿

共享劳动力、技能、时间的管理平台

家乐捷

废品回收 家电上门维修平台

林创医药

病患信息管理系统软件

焱娃娃

万千少女的购物之选

羊羊青

高端农产品 --电商平台

关于我们

About Us

沐芃科技 隶属于“河南沐芃信息技术有限公司” 以服务社会为宗旨,借助国际化的研发团队,精准的营销团队、强大的推广团队、高效的风投对接、 全面的维护团队, 全方位的服务于互联网创业者,让世上没有难做的生意。 无论是APP、 网站、微信公众平台、小程序每个研发细节,我们都追求精益求精,让每一个产品都为客户创造更多价值。

地址:郑东新区凯利国际A座9楼916-917

电话:19139975391(微信同号)

邮箱:dream@mupengst.com

固话:0371--5856 2091

关于我们 新闻中心 工程案例
公司简介 公司新闻 服务条款
招才纳贤 行业新闻
新闻中心 行业新闻

联系我们:191-3997-5391

公司地址:郑东新区凯利国际A座

备案号: 豫ICP备17022004号