某在线业务安全测试

某在线业务安全测试

开始时间以项目详情为准。本项目支持使用漏洞盒子免审核入场券。

奖金等级

加入

漏洞盒子助力「海底捞」业务平台安全上线|餐饮业信息安全进化论

聚会吃什么?据说,有80%的人会选择吃火锅。说起火锅,就不得不提一家以“服务贴心”出名的网红火锅连锁品牌——海底捞。

【大型连锁直营火锅品牌】

timg.jpg

海底捞,成立于1994年,经过二十多年的发展,除在中国大陆外,海底捞还将版图拓展到了新加坡、美国、韩国、日本等国家和地区。目前,海底捞在全球拥有近2万多名员工,200多家直营餐厅,旗下调料生产商颐海国际已在港交所上市。海底捞预计其2017年营收将过百亿,成为中国餐饮第一品牌。

【海底捞在信息安全上面临的挑战】

随着互联网技术的广泛应用和发展,传统餐饮行业正在拥抱新的机遇与挑战。海底捞也顺应互联网时代大众消费的潮流,将部分传统服务移植到移动端,推出了海底捞微信公众号、Hi捞汇应用程序。在这些业务产品上,海底捞为其开发了虚拟充值卡功能,由于涉及到资金交易,给海底捞业务运营和资产管理带来信息安全方面的隐忧。

— 如何保障平台上的资金交易安全?

— 业务功能是否存在安全漏洞、威胁公司业务正常运行?

— 是否会造成企业资产损失,对业务、技术、企业私有数据泄漏、信息系统与基础设施的可用性等方面造成影响?

—  ..... 

然而,作为一家互联网基因并不十分强大的餐饮品牌,海底捞的IT团队在信息安全方面相对薄弱,没有足够的人手、精力全面及时的完成对业务产品的信息安全保障工作。

【合作助力海底捞业务平台安全】

基于海底捞对业务产品安全服务的需求,斗象科技和海底捞签订了由漏洞盒子提供的安全渗透测试服务协议,为产品做全面的安全测试。

该项目由漏洞盒子平台自有高级安全专家团队提供,为暴露出目标应用程序所存在的威胁与风险。所有的测试活动均以模拟真实攻击者的恶意攻击行为对目标进行模拟攻击,它模拟真正的黑客入侵攻击方法,以人工渗透为主,自动化工具为辅。

上海斗象信息科技_漏洞盒子_20170518_v3.0.jpg

在海底捞授权下,漏洞盒子团队基于OWASP WEB TOP 10-2013、OWASP ASVS等通用应用安全标准,执行了对海底捞微信公众号与Hi捞汇的安全测试与评估。所有的测试活动均以模拟真实攻击者的恶意攻击行为对应用程序进行模拟攻击。

漏洞盒子评估人员发现,该应用系统存在诸多危险漏洞并能够被远程攻击者利用,在未经授权的情况下访问企业数据,给企业资产管理、运营服务带来较大安全隐患。

在完成对海底捞业务产品的安全测试和评估后,漏洞盒子团队提交了专业的漏洞报告,完整的描述了每一个漏洞的发现位置、过程、危害并提出专业性的修复建议,帮助海底捞IT部门及时地对应用程序进行修复和完善,保障业务产品上线后的运营和信息安全。



【关于斗象科技】

斗象科技是国内领先的创新型互联网安全服务商,始终致力于为企业提供优质的网络安全解决方案。旗下品牌包括互联网安全新媒体——FreeBuf,互联网安全服务平台——漏洞盒子,企业级风险监控与分析感知系统——网藤风险感知。  

斗象科技成立至今,凭借在信息安全与企业安全服务市场的专业性见解和强大技术实力,建立了长远的战略目标和良好的客户口碑。

作为国内最具创新性的安全服务提供商之一,斗象科技的产品及服务已被企业和投资者认可,拥有包括联想集团、平安金科、SONY、顺丰金融、中国移动、腾讯、支付宝、中国银联、广发银行、海尔集团、新东方教育集团等近500家核心客户,覆盖了包括互联网、金融、电商、游戏、教育、物联网在内的诸多领域,也是国家互联网应急中心(CNCERT)、国家信息安全漏洞共享平台(CNVD)、公安部第三研究所等指导机构的技术支撑单位与重要合作伙伴。