业务沟通
项目评估
支付费用
安全实施
跟踪服务
| 审计分类 | 审计大类 | 审计子类 |
|---|---|---|
| 生产网安全 | DNS 安全 | DDoS 攻击 |
| DNS 欺骗 | ||
| DNS 重定向 | ||
| 负载均衡策略 | 轮询正常 | |
| 防火墙配置策略 | 域内安全策略 | |
| DDoS 防御策略 | 高防 IP | |
| 高性能设备 | ||
| CDN 流量清洗 | ||
| 负载均衡 | ||
| 特定流量控制 | ||
| 源认证 | ||
| 会话机制策略 | ||
| 端口安全 | 服务端口最小化 | |
| 禁止弱口令 | ||
| 开启 SSH Key 登录 | ||
| 权限安全 | 权限分级策略 | |
| CA 证书/域控 | ||
| 人员留存管理 | ||
| 服务器安全 | 基础配置安全 | SSH 密钥登录 |
| 密码复杂规则 | ||
| 禁 root 用户登录 SSH | ||
| 修改 SSH 默认端口 | ||
| 设定登录跳板机 | ||
| 服务端口最小化 | ||
| 防火墙规则 | ||
| 第三方登录验证模块 | ||
| 日志策略 | ||
| 升级与补丁策略 | 系统自动更新 | |
| 应用程序更新 | ||
| 漏洞补丁更新 | ||
| 第三方模块安全 | 软件漏洞审查 | |
| 加密缺陷 | ||
| 注入漏洞 | ||
| 代码漏洞 | ||
| 应用服务安全 | 安全认证签名 | |
| 服务报警通知 | ||
| 密码策略 | ||
| 数据传输加密 | ||
| 存储加密 | ||
| 访问控制 | ||
| 服务端防火墙 | ||
| API 服务安全 | IP 黑白名单 | |
| 加密连接 | ||
| 避免中间人攻击 | ||
| API 注入 | ||
| 拒绝服务攻击 | ||
| 客户端连接认证和授权访问 | ||
| WAF 服务 | ||
| 数据库服务安全 | 证书加密连接 | |
| 复杂密码策略 | ||
| 登录地址黑白名单 | ||
| 端口不暴露公网 | ||
| 多副本或集群部署 | ||
| 日志存留 | ||
| 数据备份 | ||
| 软件更新 | ||
| 缓存服务安全 | 服务端口不暴露公网 | |
| 复杂密码策略 | ||
| 集群或副本部署 | ||
| 数据备份 | ||
| 加密连接 | ||
| 及时更新漏洞补丁 | ||
| 登录黑白名单 | ||
| 私钥管理服务安全 | 不对外开放接口 | |
| 主动连接外部接口同步数据 | ||
| 数据传输加密 | ||
| 数据备份 | ||
| 数据加密存储 | ||
| 主动拉取待签名数据 | ||
| 接口不可明文获取私钥数据 | ||
| 节点服务安全 | IP 白名单限制访问 | |
| 接口白名单限制 | ||
| 日志存留 | ||
| 多节点确认数据 | ||
| 崩溃检测 | ||
| 节点升级更新 | ||
| 应用安全 | App 环境安全检测策略 | iOS 越狱检测 |
| 虚拟机检测 | ||
| Android ROOT 检测 | ||
| App 代码反编译策略 | 源码混淆 | |
| 指令集混淆 | ||
| 虚拟机加壳 | ||
| 本地存储安全 | 沙盒存储 | |
| 钥匙链安全 | ||
| Cookie 安全 | ||
| 缓存处理 | ||
| 日志敏感信息处理 | ||
| 通信安全策略 | 使用安全套接字 | |
| 证书校验 | ||
| 认证授权策略 | 验证码机制 | |
| 认证绕过 | ||
| 越权访问 | ||
| API 接口安全 | 重放攻击 | |
| XSS/SQL 注入 | ||
| 业务逻辑安全 | 身份认证安全 | |
| 业务一致性安全 | ||
| 业务数据安全 | ||
| 数据输入格式检验 | ||
| 密码找回逻辑 | ||
| 验证码安全 | ||
| 业务授权安全 | ||
| 业务流程安全 | ||
| 业务接口安全 | ||
| 前端安全 | XSS | |
| CSRF | ||
| CORS | ||
| 点击劫持 | ||
| 控制台代码注入 | ||
| 输入安全 | 命令执行 | |
| XXE | ||
| 反序列化 | ||
| SSRF | ||
| 溢出 | ||
| SQL 注入 | ||
| 代码注入 | ||
| 模板注入 |
| 序号 | 审计大类 | 审计子类 |
|---|---|---|
| 1 | 静态代码检查 | 内置函数安全 |
| 标准库安全审计 | ||
| 第三方库安全审计 | ||
| 注入审计 | ||
| 序列化算法审计 | ||
| 内存泄露审计 | ||
| 算术运算审计 | ||
| 资源消耗审计 | ||
| 异常处理审计 | ||
| 日志安全审计 | ||
| 2 | P2P 安全 | 节点连接数审计 |
| 节点性能审计 | ||
| 消息格式校验 | ||
| 通信加密审计 | ||
| “异形攻击”审计 | ||
| 3 | RPC 安全 | 远程调用权限审计 |
| 畸形数据请求审计 | ||
| 通信加密审计 | ||
| 同源策略审计 | ||
| 4 | 加密签名安全 | 随机数生成算法审计 |
| 密钥存储审计 | ||
| 密码学组件调用审计 | ||
| 哈希强度审计 | ||
| 长度扩展攻击审计 | ||
| 加解密模糊测试 | ||
| 5 | 账户与交易模型安全 | 权限校验审计 |
| 交易重放审计 | ||
| “假充值”审计 | ||
| 6 | 系统合约安全审计 | 参照《智能合约安全审计》 |
| 7 | 共识安全 | 抵押逻辑审计 |
| 区块校验审计 | ||
| 默克尔树审计 | ||
| 8 | 代码合规审计 | 代码相似度审计 |
| 代码补丁审计 | ||
| 路线图审计 | ||
| 充值方案审计 |
入选工信部《2018 年中国区块链产业白皮书》
粤港澳大湾区区块链与网络安全技术联合实验室成员单位
国家级数字文创规范治理生态矩阵首批协作发展伙伴
清华大学 G3 区块链实验室发起单位之一
Copyright © SlowMist Limited. All Rights Reserved. 闽ICP备18006755号-1 
闽公网安备35020302032841号