攻击面梳理
在深入测试前,识别可访问功能、暴露技术、认证入口以及应用使用的同源 API。
范围限定为一个 Web 应用低权限测试账号仅修改对象标识后,即可读取其他租户的发票元数据。
YNM3000 将 AI 驱动的测试与专家验证结合,把一次聚焦的 Web 安全评估变成可以直接执行的安全决策。
在深入测试前,识别可访问功能、暴露技术、认证入口以及应用使用的同源 API。
范围限定为一个 Web 应用在不使用破坏性手段的前提下,测试访问控制、认证、会话、输入处理、服务端行为和常见业务逻辑问题。
所有发现均经复核再写入报告管理层可以快速了解风险,开发人员可以根据明确的复现证据和修复建议行动,可选中文或英文。
确认接单后 3 个工作日内交付报告交付后 14 天内,可集中提交一次严重和高危漏洞修复,并获得复测状态附录。
已包含在 300 美元中固定价格能够成立,是因为测试开始前就把边界说清楚。
填写目标 URL,选择是否提供一个测试账号,同意服务条款,并通过 Stripe 安全付款。
开始测试前,确认资产所有权或书面授权、精确范围、测试窗口、排除项和紧急联系人。
收到接单确认邮件后,3 个工作日交付倒计时开始。若范围或服务健康状态不明确,将立即暂停。
安全接收报告,按风险优先级修复,并在 14 天内申请套餐包含的严重/高危复测。
没有订阅、席位费或销售预约。客户先付款,我们再核验授权与范围;无法安全接受的订单将全额退款。
所有订单均需人工确认,同时最多执行 3 个测试项目。
从我们通过邮件确认授权、范围、时间以及可选账号资料已经完整时开始,不会在付款后自动开始。
可以,套餐可选一个由客户创建的测试账号。不要在 Stripe 中填写密码,接单后我们会约定安全的凭据交付方式。
无法验证授权、超出套餐范围或超过当前交付能力的订单,将原路全额退款。
不能。任何渗透测试都无法保证发现所有问题。报告会清楚记录测试范围、方法、已确认漏洞、限制和修复优先级。
报告交付后 14 个自然日内,集中验证一次原报告中严重和高危漏洞的修复。新增目标和新功能需要重新下单。