移动应用安全服务

移动应用安全服务

移动应用安全服务能快速扫描您的应用,并提供详细的检测报告,协助你快速定位修复问题。全自动化测试:您只需上传Android、HarmonyOS应用文件提交扫描任务,即可输出详尽专业的测试报告。详细的测试报告:详尽的在线测试报告,一键即可下载,报告提供包括问题代码行、修复建议、调用栈信息、违规问题场景截图、关联隐私策略片段等信息。支持第三方SDK隐私声明解析:针对第三方SDK隐私声明存在“表格”与“外链”两种展示方式。通过插桩方式获取应用隐私声明的url,继而提取并深度分析隐私声明内容。支撑鸿蒙应用扫描:率先支持鸿蒙应用安全漏洞、隐私合规问题扫描。

移动应用安全漏洞扫描开操作指引

您可以在华为云官网免费试用漏洞扫描工具体验二进制漏洞扫描。二进制漏洞扫描工具的操作指引如下:

1.添加任务

2.管理任务,具体操作请参见管理任务

3.查看扫描详情,具体操作请参考查看扫描详情

4.下载网站扫描报告

移动应用安全漏洞扫描的功能特性

移动应用安全服务能快速扫描您的应用,并提供详细的检测报告,协助你快速定位修复问题。

全自动化测试

-您只需上传Android、HarmonyOS应用文件提交扫描任务,即可输出详尽专业的测试报告

详细的测试报告

-详尽的在线测试报告,一键即可下载,报告提供包括问题代码行、修复建议、调用栈信息、违规问题场景截图、关联隐私策略片段等信息。

支持第三方SDK隐私声明解析

-针对第三方SDK隐私声明存在“表格”与“外链”两种展示方式。通过插桩方式获取应用隐私声明的url,继而提取并深度分析隐私声明内容。

支撑鸿蒙应用扫描

-率先支持鸿蒙应用安全漏洞、隐私合规问题扫描。


移动安全应用漏洞扫描的产品优势

扫描全面

涵盖多种类型资产扫描,支持云内外网站、主机漏洞、二进制成分分析和移动应用安全,智能关联各资产,自动发现资产指纹信息,避免扫描盲区。

简单易用

配置简单,一键全网扫描。可自定义扫描事件,分类管理资产安全,让运维工作更简单,风险状况更清晰了然。

高效精准

采用Web2.0智能爬虫技术,内部验证机制不断自测和优化,提高检测准确率。

时刻关注业界紧急CVE爆发漏洞情况,自动扫描,快速了解资产安全风险。

快速排查用户软件包/固件中的开源软件、安全配置等风险。

报告全面

清晰简洁的扫描报告,多角度分析资产安全风险,多元化数据呈现,将安全数据智能分析和整合,使安全现状清晰明了。

移动漏洞扫描的计费模式

套餐包规格

10次:包含10次单文件扫描

1次:包含1次单文件扫描

主要功能

移动应用安全:提供安卓或者鸿蒙应用隐私合规、安全漏洞扫描,基于静态+动态的扫描方式,快速精确识别应用安全及合规问题,支持扫描报告查看、报告导出

移动应用安全漏洞扫描工具常见问题

  • 移动应用安全漏洞扫描任务状态显示失败如何处理?

    ▶任务扫描失败可能由多种原因造成,需要针对具体情况进行分析,常见的失败原因如下:

    表1 常见失败原因分析

    说明:失败任务不会产生扣费,可重新创建任务进行扫描。

  • 移动应用安全漏洞扫描的安全漏洞告警如何分析定位?

    ▶针对移动应用安全漏洞扫描的安全漏洞,如何通过报告提供的信息进行分析、定位、修复?检测结果提供了如下信息:

    1. 报告提供了问题代码信息,包括文件名及其路径,可以通过该信息快速定位到问题文件。
    2. 说明:针对部分检测问题,如签名安全检测告警,无具体问题文件显示。
    3. 漏洞特征信息,主要为安全漏洞所涉及的函数代码。
    4. 安全漏洞修复建议,结合上述代码信息确定具体告警位置,分析漏洞告警是否确认为安全漏洞。


  • 移动应用安全漏洞扫描的隐私合规问题如何分析定位?

    针对移动应用安全扫描结果中的隐私合规问题告警,可以通过一下几个信息进行分析定位,并整改处理。

    1. 截图:在动态运行APP过程中,对部分涉及界面的合规问题进行截图举证,在最终扫描结果中提供截图展示,用户可根据截图进行告警分析。
    2. 调用栈:涉及收集个人数据类告警,包括第三方SDK收集,扫描结果中会提供代码调用栈信息,帮助应用开发人员快速查找问题点。
    3. 隐私申明片段:对于应用实际行为与隐私声明不一致的合规问题,扫描结果中会提取相应的隐私审批片段,能快速从应用隐私申明、第三方SDK隐私申明中定位问题点。
    4. 相应政策规范:该项告警违反的哪些规范条目,在扫描报告中详细列举,用户可以针对性的进行分析整改。


  • 移动应用安全漏洞扫描任务部分检测项有数值,但任务状态显示失败?

    如下图显示,移动应用安全漏洞扫描任务检测结果中安全漏洞检测有告警,隐私合规问题数为0,任务状态为“失败”。

    每个任务会进行多个检测项的检查,如基础安全检测、违规收集信息检测、隐私声明一致性检测等,整个检测过程分为应用解析、静态分析、动态运行三个阶段,因为应用自身原因,如闪退、无法解析、无法安装等原因导致其中某个阶段出现异常的时候任务会中止。这时候已经有了一部分检测结果,但为了保证整体任务检测完整性,我们会判定当前任务失败,且报告不可查看,扫描失败的任务不扣费。

  • 移动应用安全漏洞扫描安全漏洞报告中问题文件或者漏洞特征信息为空?

    移动应用安全漏洞扫描安全漏洞扫描结果中,我们会展示相关的问题文件及特征信息,但是在实际报告会发现存在问题文件或者漏洞特征信息为空的情况,如下图所示:

    这是因为部分检查项是针对全局性的,不针对某个文件,所以存在问题文件跟漏洞特征信息为空情况,属于正常现象。


  • 移动应用安全漏洞扫描的任务扫描超1小时仍然未结束?

    根据样本统计,单任务平均扫描耗时约1小时,扫描时长跟以下几个因素有关:

    -文件大小,文件越大扫描越耗时。

    -代码量,代码量越多扫描越耗时。

    -代码复杂程度,因为业务、代码实现的原因导致代码实现相对较复杂,调用链长,这些都会导致扫描耗时增加。

    故部分应用扫描时长会高于平均耗时,如超过12小时仍未结束,可能是因为某些异常原因导致任务无法正常结束,我们会判定该类任务未超时,终止任务执行、设置任务状态为“超时”。

移动应用安全漏洞扫描文档下载

移动应用安全漏洞管理服务最新动态下载

及时关注漏洞管理服务最新动态

移动应用安全漏洞管理服务产品介绍下载

详细了解漏洞管理服务产品

移动应用安全漏洞管理服务SDK参考下载

熟知漏洞扫描SDK,提升漏洞扫描工具使用能力

移动应用安全漏洞管理服务常见问题下载

了解漏洞扫描常见问题,避免踩坑

移动应用安全漏洞管理服务最佳实践下载

在实践中了解漏洞管理服务

移动用用安全漏洞扫描相关文章推荐