文档章节

国内APP漏洞扫描收费情况调查

red_bricks
 red_bricks
发布于 2016/07/29 11:20
字数 1517
阅读 8
收藏 0
点赞 0
评论 0

概述

上一次分享了应用加固的评测后,很多人想看看漏洞扫描相关的对比数据。其实在选择市面上这些移动安全类的产品时,经常为各种复杂的数据而感到疑惑,不知道怎么来评判各自的性能以及价格,从而选择出一款性价比高的安全产品。那么这一篇文章我就先来比较一下市场中现有产品的服务和收费情况。

国内app漏洞扫描平台,以及它们的收费状况,大致可以将其分成3类:

第一类:漏洞扫描收费平台

代表:百度开放云平台(9.9元一次)、阿里云移动安全(专业版可包年或按次收费)

第二类:漏洞扫描免费,通过漏洞扫描推其他服务

代表:阿里聚安全、360开发者平台、腾讯应用乐固

其中阿里聚安全会通过漏洞扫描推企业类的api服务还有安全组件等监测服务,另外两个主要是推加固服务。

第三类:漏洞扫描免费,主打定制化服务的平台(类似人工审计)

代表:梆梆

 

详情如下:

1、百度开放云平台 (收费9.9元一次,可定制)

链接:https://console.bce.baidu.com/aat/startTest/safe

目前扫描没有免费试用服务,每次扫描收取的费用都是9.9元。这个价位如果是个人用户或者应用较少且迭代不频繁的用户还是挺划算的。从扫描样例的报告上来看,当前漏洞扫描支持3大类的漏洞:“权限漏洞”、“静态漏洞”、“运行时漏洞”。

2、阿里云移动安全 (基础版免费,专业版收费包年20000元/按次1000元)

链接:https://www.aliyun.com/product/mobsec

这款产品应该新出的,仔细研究下它的收费模式。在云盾中开通移动安全服务后可以免费试用基础版。不过基础版想到与阉割版。那漏洞扫描来说,基础版是看不到应用漏洞的具体位置的,只有点击立即升级购买专业版后才可以看到信息。售卖方式想得也比较周到,有两种方式:专业版收费包年20000元不限定使用次数,按次1000元一次。

当然这里的专业版不仅仅可以是在界面上操作的版本,同时还提供API接口形式。这种方式对开发来说其实更方便,特别是有大量应用或者边修改边扫描漏洞的场景。这种收费模式来看,阿里云的移动安全应该是针对企业客户来制定的,而且相比其他的产品有这种线上售卖的流程也很方便。

 

3、阿里聚安全 (免费,企业版收费)

链接:http://jaq.alibaba.com/

阿里聚安全在免费漏洞扫描中推广安全组件服务,并且对功能分级针对企业版收费。它的收费是通过用户类型来区分,个人用户可以免费试用漏洞扫描,而企业用户则开通了全部权限同时也提供API服务。不过具体收费方式在官网中没有找到。

 

4、360开发者平台 (免费,无定制,需身份认证) 

链接:http://dev.360.cn/

360本身漏洞扫描也是不收费的,在扫描报告中会通过安全建议“使用360加固对应用进行加固保护”来推广加固服务。

 

5、腾讯应用乐固(免费,无定制)

链接:http://console.qcloud.com/legu

腾讯云的应用乐固在扫描界面中无法在线查看扫描的详情数据,只有通过下载报告才可以。检测项主要有分以下8种“组件公开安全检测”、“intent劫持风险安全检测”、“数据存储安全检测”、“webview高危接口安全检测”、“数据传输安全检测”、“拒绝服务攻击安全检测”、“其他安全风险检测”、“AndroidManifest.xml配置安全检测”。从整体几个功能的信息像详细度来看主要也是推广加固的。

 

6、梆梆 (免费 可以定制)

链接:http://dev.bangcle.com/apps/index 

梆梆漏洞扫描比较简陋,主要是做定制化评估。

作为最老牌的应用安全厂商,梆梆的商业模式主要是利用线上的自动化扫描来退出他们的人工审计服务。在扫描报告的下方有更多评估项,例如“支付安全审计”、“界面劫持测试”、“输入安全评估”等定制化服务。点击“申请定制化评估”后,是一个对话窗口,可以通过窗口和客服交流。了解到这部分定制化的服务是通过线下的方式来对接的。和上面百度阿里的几款自主化产品服务形式相比,耗费在人工对接上的时间精力可能会比较大。

 

整体来看,针对个人用户使用上述的一些像阿里聚安全和360的免费漏洞扫描服务就可以满足了。针对企业类的用户可以考虑收费服务,比如迭代快或者应用数量较大的则可以考虑阿里云移动安全API服务或者梆梆这一类定制化服务。

© 著作权归作者所有

共有 人打赏支持
red_bricks
粉丝 0
博文 6
码字总数 14507
作品 0
东城
APP漏洞扫描器之本地拒绝服务检测详解

APP漏洞扫描器之本地拒绝服务检测详解 阿里聚安全的Android应用漏洞扫描器有一个检测项是本地拒绝服务漏洞的检测,采用的是静态分析加动态模糊测试的方法来检测,检测结果准确全面。本文将讲...

阿里聚安全 ⋅ 2016/10/24 ⋅ 0

中国网络安全企业50强(2016年上半年)

自2015年10月,《中国网络安全企业50强》(以下简称“50强”)首次发布以来,安全牛就一直在筹划《50强》的第二次发布,并于今年3月初正式启动调查工作。经过三个多月的调研、审核及评定工作...

安全牛 ⋅ 2016/06/22 ⋅ 0

(最新)移动App应用安全漏洞分析报告 !

  漏洞扫描方式主要分为静态和动态,静态扫描的漏洞类型主要包含SQL注入风险、webview系列、文件模式配置错误、https不校验证书、database配置错误等。动态扫描的漏洞类型主要包含拒绝服务...

科技创造 ⋅ 2014/10/18 ⋅ 0

僵尸网络攻击预警:12小时就激活了超过28万不同IP组成新型僵尸网络

12月5日,国内360网络安全研究院发出预警,根据调查显示一个名为Satori(觉醒)的新型僵尸网络在短时间内迅速组件,仅12个小时不到的时间就激活了超过28万个不同IP,这是一场准备已久的僵尸网络...

僵尸网络 ⋅ 2017/12/07 ⋅ 0

渗透测试初探:利用Metasploit自动发现利用靶机漏洞

网络安全的攻和守一直以来都是安全建设的两个方面,笔者最近也在研究一些渗透测试的技术,以丰富网络安全建设的知识储备。本文简要介绍一下,如何在虚拟环境下利用Metasploit pro自动对靶机完...

半夜菊花茶 ⋅ 04/29 ⋅ 0

渗透测试实战

软件测试有很多种,如黑盒测试,功能测试等。 今天介绍渗透测试。 渗透测试一般在黑客中运用,黑客当然不是骇客(cracker),是有区别的。 渗透测试可以说是黑客攻击的一种,通常的黑客攻击包...

crossmix ⋅ 2015/12/04 ⋅ 0

巨大僵尸网络 Satori 冲着中国某品牌路由器而来,作者身份被披露

曾造成美国东部大断网的 Mirai 僵尸网络开了个坏头,之后被安全研究员们监测到的大型僵尸网络都比 Mirai 的“僵尸军队”要大得多。 360 网络安全研究院安全研究员李丰沛曾和团队发布了关于 ...

李勤 ⋅ 2017/12/24 ⋅ 0

BUF早餐铺 ZipperDown漏洞影响10% iOS软件;谷歌修复导致数百万网页游戏崩溃的Chrome漏洞;美国参议院投票支持保留《网络中立法》

  各位 Buffer 早上好,今天是 2018 年 5 月 18 日星期五,农历四月初四。今天的 BUF 早餐内容主要有:ZipperDown漏洞影响10% iOS软件;谷歌修复导致数百万网页游戏崩溃的Chrome漏洞;美国...

FreeBuf ⋅ 05/18 ⋅ 0

Windows 服务器下勒索木马的防护与对抗

  摘要   去年的 WannCry 勒索病毒,让全社会都关注到了这类新生的恶意软件。从去年下半年开始,勒索病毒在国内的攻击重点开始转向了各类服务器,尤其以windows服务器为甚。黑客利用弱口...

FreeBuf ⋅ 04/27 ⋅ 0

中国网络安全企业50强(2017年上半年)

前言 《中国网络安全企业50强》(2017年上半年)于今日发布,调查区间为2016年全年的企业信息及各项数据。 根据本次调查报告的统计,2016年度《50强》报告中入围50强的企业,安全年收入总额为...

安全牛 ⋅ 2017/06/30 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Spring Bean基础

1、Bean之间引用 <!--如果Bean配置在同一个XML文件中,使用local引用--><ref bean="someBean"/><!--如果Bean配置在不同的XML文件中,使用ref引用--><ref local="someBean"/> 其实两种......

霍淇滨 ⋅ 19分钟前 ⋅ 0

05、基于Consul+Upsync+Nginx实现动态负载均衡

1、Consul环境搭建 下载consul_0.7.5_linux_amd64.zip到/usr/local/src目录 cd /usr/local/srcwget https://releases.hashicorp.com/consul/0.7.5/consul_0.7.5_linux_amd64.zip 解压consu......

北岩 ⋅ 22分钟前 ⋅ 0

Webpack 4 api 了解与使用

webpack 最近升级到了 v4.5+版 01 官方不再支持 node4 以下版本 官方不再支持 node4 以下版本官方不再支持 node4 以下的版本,所以如果你的node版本太低,先开始升级node吧!话说node10 ...

NDweb ⋅ 32分钟前 ⋅ 0

使用nodeJs安装Vue-cli

Vue脚手架就是一个Vue框架开发环境 脚手架的意思是帮你快速开始一个vue的项目,也就是给你一套vue的结构,包含基础的依赖库,只需要 npm install就可以安装,让我们不需要为了编辑或者一些其...

木筏笔歆 ⋅ 今天 ⋅ 0

【微信小程序开发实战】0x00.开发前准备工作

写在开始 本人资深后端码农一枚,近期项目需求,接触到了微信小程序,将学习过程整理成文分享给小伙伴们,由于是边学边整理难免有表述不对的地方,望大家及时指正,感谢。 本人微信号: dream...

dreamans ⋅ 今天 ⋅ 0

linux redis的安装和php7下安装redis扩展

安装redis服务器 (1)下载安装包: $ wget http://download.redis.io/releases/redis-2.8.17.tar.gz (2)编译程序: $ tar xzf redis-2.8.17.tar.gz $ cd redis-2.8.17 $ make $ cd src &&......

concat ⋅ 今天 ⋅ 0

Guava EventBus源码解析

一、EventBus使用场景示例 Guava EventBus是事件发布/订阅框架,采用观察者模式,通过解耦发布者和订阅者简化事件(消息)的传递。这有点像简化版的MQ,除去了Broker,由EventBus托管了订阅&...

SaintTinyBoy ⋅ 今天 ⋅ 0

http怎么做自动跳转https

Apache 版本 如果需要整站跳转,则在网站的配置文件的<Directory>标签内,键入以下内容: RewriteEngine on RewriteCond %{SERVER_PORT} !^443$ RewriteRule ^(.*)?$ https://%{SERVER_NAME......

Helios51 ⋅ 今天 ⋅ 0

Python爬虫,抓取淘宝商品评论内容

作为一个资深吃货,网购各种零食是很频繁的,但是能否在浩瀚的商品库中找到合适的东西,就只能参考评论了!今天给大家分享用python做个抓取淘宝商品评论的小爬虫! 思路 我们就拿“德州扒鸡”...

python玩家 ⋅ 今天 ⋅ 0

MySQL 内核深度优化

MYSQL数据库适用场景广泛,相较于Oracle、DB2性价比更高,Web网站、日志系统、数据仓库等场景都有MYSQL用武之地,但是也存在对于事务性支持不太好(MySQL 5.5版本开始默认引擎才是InnoDB事务...

java高级架构牛人 ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部