检测项目
1.缓冲区溢出检测:堆栈保护机制检查(Canary值验证)、内存地址随机化(ASLR)状态评估2.SQL注入漏洞检测:输入过滤规则验证(正则表达式匹配精度)、参数化查询实施状态3.跨站脚本攻击(XSS)检测:输出编码完整性测试(HTML/JavaScript实体化处理)4.权限提升漏洞分析:访问控制列表(ACL)完整性验证、特权指令调用链追踪5.加密协议弱点检测:TLS/SSL协议套件强度评估(密钥长度≥2048位)、随机数生成熵值测量
检测范围
1.嵌入式系统固件:工业控制器、医疗设备固件镜像逆向分析2.Web应用程序:Java/PHP/Python框架构建的B/S架构系统3.移动终端应用:AndroidAPK逆向工程、iOSIPA二进制分析4.工业控制系统:Modbus/TCP协议栈实现缺陷检测5.物联网设备:Zigbee/WiFi通信模块固件安全审计
检测方法
1.ASTME2923-16:软件安全测试的模糊测试实施标准2.ISO/IEC15408:信息技术安全评估通用准则(CC标准)3.GB/T30276-2020:信息安全技术网络漏洞分类与分级指南4.GB/T28458-2020:工业控制系统安全防护技术要求5.OWASPTestingGuidev4:Web应用渗透测试方法论框架
检测设备
1.FortifyStaticCodeAnalyzer22.1:支持15+编程语言的静态代码分析平台2.IDAPro8.3:跨架构二进制逆向工程工具(x86/ARM/MIPS支持)3.Rohde&SchwarzCMW500:无线协议栈深度测试仪(支持5GNR/WiFi6)4.KeysightN9020BMXA信号分析仪:射频通信物理层安全测试(20Hz-26.5GHz)5.MetasploitPro4.21:自动化渗透测试框架(含6000+漏洞利用模块)6.Wireshark4.0.8:网络协议深度解析工具(支持2000+协议解码)7.CANoe15.0:车载总线安全测试平台(CAN/FlexRay协议仿真)8.JTAGulator1.7:硬件调试接口识别与逆向工具9.CellebriteUFEDPremium:移动设备物理镜像提取与分析系统10.PeachFuzzer3.7:智能模糊测试引擎(支持协议变异算法)
北京中科光析科学技术研究所【简称:中析研究所】
报告:可出具第三方检测报告(电子版/纸质版)。
检测周期:7~15工作日,可加急。
资质:旗下实验室可出具CMA/CNAS资质报告。
标准测试:严格按国标/行标/企标/国际标准检测。
非标测试:支持定制化试验方案。
售后:报告终身可查,工程师1v1服务。
