为什么选择华为移动应用安全检测

为什么选择华为移动应用安全(APP安全漏洞和隐私合规检测)

华为移动应用安全检测适用于各类App发布前的安全合规自测,并提供问题修复建议,实现安全、合规发布

扫描速度快:整个检测为分钟级,综合检测报告产出效率高

能力更新快:针对新风险响应迅速,从解读到检测规则到发布上线,按天更新推进

检测能力强:隐私解析集成CV图形学算法、OCR、NLP等多领域技术,提供精确的隐私行为一致性检测能力

覆盖范围全:支持100+基础安全问题、30+隐私合规问题,提供详细的检测结果及修复建议

移动应用安全用户指南

移动应用安全用户指南

活动规则

活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理

活动时间: 2020年8月12日-2020年9月11日

一、快速购买移动应用安全

  • 收起 展开
    操作场景 收起 展开

    该任务指导用户首次使用移动应用安全时,如何购买漏洞管理服务(移动应用安全)的专业版扫描功能。

    须知:

    不支持多个版本同时存在。如果是老客户,已购买的版本下存在基础版和专业版,基础版全部免费升级为专业版,版本到期时间以订单到期时间最长的为准。

    购买漏洞管理服务或配额后,不支持直接修改配额,仅支持升级规格,请谨慎操作。如需减少配额请参考如何减少漏洞管理服务配额

    了解详情
  • 收起 展开
    前提条件 收起 展开

    已获取管理控制台的登录帐号(拥有VSS Administrator与BSS Administrator权限)与密码。

    了解详情
  • 收起 展开
    购买步骤 收起 展开

    1.登录管理控制台。

    2.在页面上方选择区域或项目后,单击,选择“安全与合规 > 漏洞管理服务”,进入漏洞扫描服务管理界面。

    说明:首次使用漏洞管理服务,您可以在页面左侧,单击“立即购买”,进入漏洞管理服务购买页面。

    -如果您已经体验了漏洞管理服务基础版,请在页面的右上角,单击“升级规格”,进入漏洞管理服务购买页面。

    3.在购买漏洞管理服务界面,进行服务选型配置。

    4.确认订单详情无误并阅读《华为云漏洞管理服务声明》后,勾选“我已阅读并同意《华为云漏洞管理服务声明》”,单击“去支付”。如果订单填写有误,用户可以单击“上一页”,回到服务选型页面修改配置信息后再继续购买。

    5.在“付款”页面,选择付款方式进行付款。




    了解详情

二、移动应用安全任务添加

  • 收起 展开
    前提条件 收起 展开

    -已获取管理控制台的登录帐号与密码。

    -本地已准备好待扫描文件。

    -扫描文件需存在UI界面且无需登录。


    了解详情
  • 收起 展开
    操作步骤 收起 展开

    1.登录管理控制台

    2.选择“服务列表 >安全与合规 > 漏洞管理服务”,进入漏洞管理服务管理控制台。

    3.在左侧导航栏,单击移动应用安全。

    4.在“移动应用安全”页面,单击“添加任务”,在弹出的对话框中,单击“添加文件”选择本地的软件包,导入扫描对象,如图1所示 添加扫描对象

    说明:支持上传hap、apk类型的文件。

    -若用户未购买套餐包添加任务时提示扣费,已购买套餐包的用户即可可以直接创建任务,无需单次扣费。

    -“是否将本次扫描升级为正式版本规格”默认关闭。如果打开,表示将本次扫描升级为正式版本规格。

    5.单击“确定”,开始扫描,请等待45分钟后,任务状态显示“完成”,即可完成扫描。


    了解详情

三、移动应用安全检测任务管理

  • 收起 展开
    操作场景 收起 展开

    该任务指导用户通过漏洞扫描服务查找、删除应用安全任务。

    了解详情
  • 收起 展开
    前提条件 收起 展开

    已获取管理控制台的登录帐号与密码。


    了解详情
  • 收起 展开
    查看任务 收起 展开

    1.登录管理控制台

    2.选择“服务列表 >安全与合规 > 漏洞扫描服务”,进入漏洞扫描服务管理控制台。

    3.在左侧导航栏,单击移动应用安全。

    4.在“移动应用安全”页面,查看应用安全任务列表,相关参数说明如表1所示。

    图1 应用安全任务列表

    表1 应用安全任务列表参数说明

    5.在下拉框下拉选择任务状态,可根据任务状态筛选查看任务。

    6.在输入框中输入任务名称关键字,可根据任务名称关键字筛选查看。可以和任务状态联合使用。

    7.单击刷新任务列表。


    了解详情

四、移动应用安全检测查看扫描详情

  • 收起 展开
    前提条件 收起 展开

    -已获取管理控制台的登录帐号与密码。

    -已执行扫描任务。


    了解详情
  • 收起 展开
    操作步骤 收起 展开

    1.登录管理控制台

    2.选择“服务列表 >安全与合规 > 漏洞管理服务”,进入漏洞管理服务管理控制台。

    3.在左侧导航栏,单击移动应用安全。

    4.在“移动应用安全”页面,单击对应任务操作列的,如图1所示。

    说明:单击“文件名”也可以进入扫描报告页面。

    图1 进入应用安全扫描报告入口

    5.进入扫描报告查看页面,如图2所示,各栏目说明如表1所示。。

    图2 查看应用安全扫描报告详情

    表1 详情总览说明

    了解详情

五、移动应用安全检测下载扫描报告

  • 收起 展开
    操作场景 收起 展开

    扫描任务成功完成后,您可以下载任务报告,报告目前只支持PDF格式。

    了解详情
  • 收起 展开
    前提条件 收起 展开

    已获取管理控制台的登录帐号与密码。


    了解详情
  • 收起 展开
    查看任务 收起 展开

    1.登录管理控制台

    2.选择“服务列表 >安全与合规 > 漏洞扫描服务”,进入漏洞扫描服务管理控制台。

    3.在左侧导航栏,单击移动应用安全。

    4.在“移动应用安全”页面,可看到全部添加过的任务。

    5.单击对应任务操作列的“导出报告”,如图1所示。

    图1 进入移动应用扫描报告入口

    6.报告生成后,即可在本地打开查看。



    了解详情
  • 收起 展开
    报告模板 收起 展开

    下载扫描报告后,您可以根据扫描结果,对漏洞进行修复,报告模板主要内容说明如下:(以下截图中的数据仅供参考,请以实际扫描报告为准)

    -应用基本信息检测

    -应用检测的基本信息和检测概况。

    应用权限信息检测

    应用组件信息检测

    查看软件的所有组件信息。

    应用漏洞检测

    您可以参考每个组件扫描出的漏洞详细信息修复漏洞。

    应用隐私合规检测

    移动应用安全评测依据



    了解详情

移动应用安全服务支持的版本

移动应用安全服务仅支持基础版和专业版

移动应用安全检测的常见问题

移动应用安全检测的常见问题

活动规则

活动对象:华为云电销客户及渠道伙伴客户可参与消费满送活动,其他客户参与前请咨询客户经理

活动时间: 2020年8月12日-2020年9月11日

  • 移动应用安全测试任务状态显示失败如何处理?

    移动应用安全测试任务扫描失败可能由多种原因造成,需要针对具体情况进行分析,常见的失败原因如下:

    表1 常见失败原因分析

    说明:失败任务不会产生扣费,可重新创建任务进行扫描。

  • 移动应用安全扫描的安全漏洞告警如何分析定位?

    针对移动应用安全扫描的安全漏洞,如何通过报告提供的信息进行分析、定位、修复?检测结果提供了如下信息:

    1. 报告提供了问题代码信息,包括文件名及其路径,可以通过该信息快速定位到问题文件。
    2. 说明:针对部分检测问题,如签名安全检测告警,无具体问题文件显示。
    3. 漏洞特征信息,主要为安全漏洞所涉及的函数代码。
    4. 安全漏洞修复建议,结合上述代码信息确定具体告警位置,分析漏洞告警是否确认为安全漏洞。


  • 移动应用安全测试的隐私合规问题如何分析定位?

    针对移动应用安全测试结果中的隐私合规问题告警,可以通过一下几个信息进行分析定位,并整改处理。

    1. 截图:在动态运行APP过程中,对部分涉及界面的合规问题进行截图举证,在最终扫描结果中提供截图展示,用户可根据截图进行告警分析。
    2. 调用栈:涉及收集个人数据类告警,包括第三方SDK收集,扫描结果中会提供代码调用栈信息,帮助应用开发人员快速查找问题点。
    3. 隐私申明片段:对于应用实际行为与隐私声明不一致的合规问题,扫描结果中会提取相应的隐私审批片段,能快速从应用隐私申明、第三方SDK隐私申明中定位问题点。
    4. 相应政策规范:该项告警违反的哪些规范条目,在扫描报告中详细列举,用户可以针对性的进行分析整改。


  • 移动应用安全测试任务部分检测项有数值,但任务状态显示失败?

    如下图显示,移动应用安全测试任务检测结果中安全漏洞检测有告警,隐私合规问题数为0,任务状态为“失败”。

    每个任务会进行多个检测项的检查,如基础安全检测、违规收集信息检测、隐私声明一致性检测等,整个检测过程分为应用解析、静态分析、动态运行三个阶段,因为应用自身原因,如闪退、无法解析、无法安装等原因导致其中某个阶段出现异常的时候任务会中止。这时候已经有了一部分检测结果,但为了保证整体任务检测完整性,我们会判定当前任务失败,且报告不可查看,扫描失败的任务不扣费。

  • 移动应用安全测试安全漏洞报告中问题文件或者漏洞特征信息为空?

    移动应用安全测试安全漏洞扫描结果中,我们会展示相关的问题文件及特征信息,但是在实际报告会发现存在问题文件或者漏洞特征信息为空的情况,如下图所示:

    这是因为部分检查项是针对全局性的,不针对某个文件,所以存在问题文件跟漏洞特征信息为空情况,属于正常现象。

  • 移动应用安全测试任务扫描超1小时仍然未结束?

    根据样本统计,单任务平均扫描耗时约1小时,扫描时长跟以下几个因素有关:

    -文件大小,文件越大扫描越耗时。

    -代码量,代码量越多扫描越耗时。

    -代码复杂程度,因为业务、代码实现的原因导致代码实现相对较复杂,调用链长,这些都会导致扫描耗时增加。

    故部分应用扫描时长会高于平均耗时,如超过12小时仍未结束,可能是因为某些异常原因导致任务无法正常结束,我们会判定该类任务未超时,终止任务执行、设置任务状态为“超时”。

  • 哪些场景下移动应用安全测试结果可能会存在漏报?

    -加固加壳的应用,例如通过爱加密加固。

    -使用不支持无障碍服务UI框架开发的应用,例如游戏。

    -SDK版本低于18。


  • 如何在应用移动应用安全测试过程中输入用户凭证登录应用?

    应用在“分析中”状态,如果当前处于隐私合规检测阶段,可单击状态列的“分析中”链接打开详情窗口,应用动态运行界面会投屏至网页端。

    当应用出现登录界面时,界面自动停止运行,此时用户可通过本地键盘输入登录凭证,完成登录操作。

  • 移动应用安全测试过程中,无法打开详情查看手机实时检测界面怎么解决?

    手机检测界面仅在隐私合规检测阶段可查看,其他检测阶段不可见,通常在任务启动5分钟左右会进行隐私合规检测操作,此时才可以查看。

  • 移动应用安全测试隐私声明URL地址、个人信息第三方共享目录URL地址如何获取?

    打开App时会弹出隐私声明对话框,对话框里包含了隐私声明以及第三方SDK隐私声明的链接,可以单击链接获取详细地址。

漏洞扫描工具(移动应用安全)必看文档

  • 漏洞管理服务(移动应用安全)的功能特性

    漏洞管理服务可以帮助您快速检测出您的网站、主机、移动应用和软件包/固件存在的漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。

    漏洞管理服务可以帮助您快速检测出您的网站、主机、移动应用和软件包/固件存在的漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。

  • 漏洞管理服务(移动应用安全)的规格差异

    漏洞管理服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。

    漏洞管理服务提供了基础版、专业版、高级版和企业版四种服务版本。其中,基础版配额内的服务免费,部分功能按需计费;专业版、高级版和企业版需要收费。

  • 漏洞扫描工具(移动应用安全)的使用约束

    漏洞管理服务是通过公网访问域名/IP地址进行扫描的,请确保该目标域名/IP地址能通过公网正常访问。果您的网站设置了防火墙或其他安全策略,将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。

    漏洞管理服务是通过公网访问域名/IP地址进行扫描的,请确保该目标域名/IP地址能通过公网正常访问。果您的网站设置了防火墙或其他安全策略,将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。

  • 漏洞扫描工具(移动应用安全)计费说明

    本小节主要介绍漏洞管理服务的计费说明,包括计费项、计费模式、续费等。漏洞管理服务根据您的漏洞管理服务服务版本,扫描配额包的个数和购买时长计费。漏洞管理服务提供按需计费和包年/包月两种计费模式,用户可以根据实际需求选择计费模式。

    本小节主要介绍漏洞管理服务的计费说明,包括计费项、计费模式、续费等。漏洞管理服务根据您的漏洞管理服务服务版本,扫描配额包的个数和购买时长计费。漏洞管理服务提供按需计费和包年/包月两种计费模式,用户可以根据实际需求选择计费模式。

  • 漏洞扫描(移动应用安全)个人数据保护机制

    为了确保网站访问者的个人数据(例如用户名、密码等)不被未经过认证、授权的实体或者个人获取,漏洞管理服务通过加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露,保证您的个人数据安全。

    为了确保网站访问者的个人数据(例如用户名、密码等)不被未经过认证、授权的实体或者个人获取,VSS通过加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露,保证您的个人数据安全。

  • 漏洞管理服务(移动应用安全)权限管理

    如果需要对华为云上购买的漏洞管理服务资源,为员工设置不同的访问权限,您可以使用统一身份认证服务进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。

    如果需要对华为云上购买的漏洞管理服务资源,为员工设置不同的访问权限,您可以使用统一身份认证服务进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。

  • 漏洞扫描(移动应用安全)与其他服务的关系

    统一身份认证服务为漏洞管理服务提供了权限管理的功能。需要拥有漏洞管理服务 Administrator权限的用户才能使用漏洞管理服务。云审计服务记录了漏洞扫描服务相关的操作事件,方便用户日后的查询、审计和回溯

    统一身份认证服务为VSS提供了权限管理的功能。需要拥有VSS Administrator权限的用户才能使用VSS服务。云审计服务记录了漏洞扫描服务相关的操作事件,方便用户日后的查询、审计和回溯

  • 如何使用漏洞管理服务(移动应用安全)

    漏洞管理服务是针对网站进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。用户新建任务后,即可人工触发扫描任务,检测出网站的漏洞并给出漏洞修复建议。

    漏洞扫描服务是针对网站进行漏洞扫描的一种安全检测服务,目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。用户新建任务后,即可人工触发扫描任务,检测出网站的漏洞并给出漏洞修复建议。

  • 漏洞管理服务api基本概念

    用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。

    用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。