申请服务

常见问题

我们在项目启动前,内部运营团队会对企业做业务风险评估,确认项目潜在的风险点,在项目实施前跟实施专家团队进行确认。项目实施过程中,平台的要求是以发现漏洞为主,验证风险是否存在,不做恶意操作。可能存在影响业务的操作会统一跟运营人员确认,运营人员会针对具体问题情况跟企业确认风险。目前项目实施过程中还未出现业务影响,如果一旦出现业务影响,我们会追溯问题根源,运营团队会协同企业一同处置影响,将损失降到最低。

我们的互联网众测服务主要核心价值之一,就是在企业现有的安全机制和体系上做安全能力补充,跟企业现有的安全产品和服务并不冲突,我们的安全专家团队可以站在不同的攻击视角快速地发现更多漏洞,从而帮助企业补充安全能力。优势在于我们合作的安全专家资源和众测服务运营能力都是国内领先。

我们实施的绝大多数项目都是互联网公开的业务,作为用户能注册使用的,如果要对内网的业务系统做项目实施,需要企业对我们指定的服务器IP地址开白名单,所有的安全专家实施只能通过该服务器IP访问该业务系统,对相关业务进行测试,通过流量审计确保每个安全专家的实施工作更可信的完成任务。

我们针对项目的要求可以提供现场支持服务,主要是配合远程项目实施工作,无法做到所有实施专家都到现场提供支持,这样会对项目的结果有影响,可以按照原有项目服务计划进行,同样能保质保量完成项目实施工作。

我们所有的项目实施人员都跟平台签署项目保密协议,具备法律效应,协议当中有明确的规定来保证每个人会遵守相关规则,不触碰红线。所有项目人员发现的漏洞细节不会对外泄露,我们会第一时间把安全专家发现的问题及时验证和确认后转交给企业相关人员,第一时间处置完漏洞,把泄露风险降至最低。

我们在项目实施前期就对项目参与的专家进行严格筛选、确认身份,从实施源头就降低了项目风险,所有安全专家合作时间长达4年以上,每个人都会遵守项目平台的规则规定。另外合作专家团队主要是以人工分析为主,不做对业务影响的操作,故不会对业务造成影响。针对重点和敏感行业领域,我们也可以提供流量审计服务,每个专家都会接入到该安全审计平台,保障项目实施过程中的风险,实现漏洞可知可见,测试行为可控。

我们发现的每个漏洞都会经过安全专家验证,提交过程会对漏洞进行详细精准的风险描述,包含:漏洞发现的过程,验证漏洞的细节,问题的修复建议,同时平台运营团队也会对提交的漏洞风险进行验证、确认。企业看到的所有漏洞细节都是经过安全专家和平台运营团队双重验证后的结果,我们会提供修复建议,确保企业相关人员能够理解漏洞的风险成因。如果不理解,可在平台上互动或者寻求平台运营团队提供技术支持,我们会第一时间回复。

我们在项目实施前会跟企业确认项目实施的具体范围和实现的安全目标,会针对企业自身的想法建议合理的测试范围、测试时间和方式,如果需要提供测试账号的会在项目启动前确认相关信息,如果不需要提供测试账号信息的,只需要提供主域名清单和移动应用下载源、版本号、产品型号信息即可。保证项目实施与正式签署授权书的范围一致。

我们在项目实施过程中对漏洞的评级会参考安全专家自评,主要会结合发现的漏洞本身的技术风险和业务风险综合评级,评级标准会结合业务和数据安全影响,目前实施的项目中没有遇到任何争议。如果出现争议性的情况,我们会评估漏洞的细节,如果是因为技术细节或者完整性的问题无法证明该漏洞风险,会对相关问题进行补充、证明,确保双方认可。

我们专注互联网众测服务领域,与其他平台运营模式和关注点不一样。其他家的运营模式主要是偏向安全产品和漏洞悬赏模式,在人员选择和机制上完全不同。我们更偏向于任务和项目形式,所有的项目测试都在客户授权范围来完成项目实施工作,侧重点在于更快速的帮助企业发现并修复相关漏洞。

我们合作的安全专家都是严格经过技术考核后才能参与到项目当中的,以多劳多得,按照项目贡献比例进行奖励,更侧重于激励安全专家,服务的方式主要是以人工分析为主,能覆盖自动化产品覆盖不了的漏洞,通过竞争机制的方式在特定的时间范围内让专家团队来发现漏洞,解决漏洞。通过新的模式和机制,可以比原有项目协作的服务方式提升数倍的项目产出,多思维模式做安全能力补充。我们目前实施的项目中平均每个项目能发现30-40个漏洞。

因为我们的模式和运营机制与其他企业不一样,我们的团队和合作的安全专家团队可以对Web网站、移动App、loT硬件设备、无线网络、安全产品设备等业务场景和目标都可以做相关测试工作,安全能力边界不受限制。