從風險預警、標準驗證到深度挖掘,為您的 App 提供完整守護。
從10大常見風險角度進行評估,取得4大風險預警。
確保敏感性資料不留存在手機暫存區,防止因遺失或被破解導致的隱私外洩。
防止交易過程被「中間人」攔截或竄改,確保每一筆連線安全無虞。
正確配置 Android/iOS 系統安全功能,關閉開發時所遺留的後門與偵錯埠口。
透過程式碼混淆與環境偵測,防止您的 App 被惡意修改或遭自動化攻擊。
針對7大控制項逐項驗證,確認App符合OWASP Checklist L1或L2的安全標準,達到合規要求。
依據指引執行滲透測試服務,對您的App進行全面的深度挖掘。
深入程式碼與編譯後的二進制檔,尋找隱藏的金鑰、後門與不安全的演算法等。
在 App 運行時監控資料流向,攔截敏感封包,驗證傳輸加密安全性等。
測試 App 是否具備足夠的防混淆與竄改能力,保護您的 App 核心價值等。
| 比較項目 | Mobile Top 10 | MASVS | MASTG |
|---|---|---|---|
| 服務核心 | 風險評估111 | 標準驗證 | 滲透測試 |
| 解決問題 | 想知道是否存在最常見的風險 | 想確保符合國際安全標準 | 想模擬駭客真實攻擊,進行深度挖掘 |
| 檢測重點 | 處理最常見的風險,著重於重點式掃描 | 依循系統性的檢測流程,著重於清單與合規驗證 | 由專家進行深度檢測,著重於發現深層風險 |
| 檢測最佳時機 | 產品初步成型階段 |
|
|
許多企業以取得數位發展部認可之「行動應用 App 基本資安標章」(MAS 標章) 及合格證明為目標,然面對日新月異的技術,如金融單位等之資安檢測則加採 OWASP 標準以強化抵禦駭客攻擊。以下是兩者的比較:
| 比較項目 | MAS 檢測 (合規導向) | OWASP (防禦導向) |
|---|---|---|
| 防護目標 | 遵守政府與法規的基本要求 | 抵禦具備高度資源與技術的攻擊者 |
| 漏洞覆蓋 | 已知的常見弱點 (M1-M10) | 包含未知的零日攻擊與複雜邏輯漏洞 |
| 檢測深度 | 能有效發現大部分常見的安全配置錯誤 | 著重於挖掘自動化工具無法發現之邏輯漏洞,增加逆向工程與程式碼韌性,降低行動應用程式、伺服器等被竄改的機率 |
| 檢測手法 | 以自動化掃描與黑箱測試為主 | 以專家手動滲透與白箱程式碼審查為主 |
| 商業價值 | 取得基本資格與防禦基礎 | 保護品牌商譽、防止商業機密遭竊取 |