不安全的反序列化检测
点击:93丨发布时间:2025-05-27 17:07:40丨关键词:CMA/CNAS/ISO资质,中析研究所,不安全的反序列化检测
参考周期:常规试验7-15工作日,加急试验5个工作日。
因业务调整,暂不接受个人委托测试,望谅解(高校、研究所等性质的个人除外)。
CMA/CNAS等证书详情,因时间等不可抗拒因素会发生变更,请咨询在线工程师。
检测项目
1.未验证输入反序列化检测(参数:攻击载荷长度≥512字节)
2.类型混淆漏洞扫描(参数:类型强制转换异常阈值≤3次/万次调用)
3.恶意代码注入测试(参数:动态沙箱捕获率≥98%)
4.内存溢出攻击模拟(参数:堆栈偏移量误差0.5%)
5.反射调用链审计(参数:非授权类加载次数>0即告警)
检测范围
1.Java/C#/Python语言开发的Web应用及中间件
2.基于JSON/XML/YAML的跨平台数据交换接口
3.IoT设备固件中的二进制序列化模块
4.分布式系统的RPC通信协议(如gRPC、Thrift)
5.工业控制系统的OPCUA数据报文
检测方法
1.国际标准:ASTMF2875-19(二进制数据流完整性验证)、ISO/IEC27034-6:2016(应用安全控制测试)
2.国家标准:GB/T34943-2017(数据安全测试方法)、GB/T36627-2018(工业控制系统安全防护指南)
3.动态分析:基于OWASPZAP实施运行时行为监控(RFC7493协议合规性验证)
4.静态分析:通过CheckmarxCxSAST执行代码模式匹配(CWE-502漏洞模式库V3.2)
5.模糊测试:采用AFL++框架生成畸形输入样本(覆盖率≥85%)
检测设备
1.FortifyStaticCodeAnalyzerSCA-8000(多语言静态代码扫描)
2.KeysightN9020BMXA信号分析仪(二进制流时序精度1ns)
3.Rohde&SchwarzCMW500协议测试仪(支持HTTP/2及MQTT协议解析)
4.BurpSuiteProfessional2023.8(动态交互式应用安全测试平台)
5.SynopsysDefensicsFuzzerT1000(自动化模糊测试套件)
6.QualysWASScannerQWAS-400(云原生应用漏洞扫描系统)
7.FlukeNetworksOptiViewXG(网络流量深度包检测设备)
8.HPEEdgelineEL8000(工业协议逆向工程工作站)
9.IBMSecurityAppScanEnterprise10.0.3(企业级应用安全审计平台)
10.MetasploitProFramework(渗透测试攻击向量库V6.2)
北京中科光析科学技术研究所【简称:中析研究所】
报告:可出具第三方检测报告(电子版/纸质版)。
检测周期:7~15工作日,可加急。
资质:旗下实验室可出具CMA/CNAS资质报告。
标准测试:严格按国标/行标/企标/国际标准检测。
非标测试:支持定制化试验方案。
售后:报告终身可查,工程师1v1服务。
前沿项目