1. 输入用户名和密码,单击登录进入嵌入式安全审计平台,创建用户请联系管理员。
2. 在报告管理页面,选择所需报告,单击查看详情。
3. 在报告页面,分为概览、详细信息、敏感信息、潜在风险、漏洞审计、资产清单 BOM、漏洞审计、License 审计、安全审计和自定义审计9个部分。单击不同菜单即可查看详细内容。
报告内容
报告页共包含概览、详细信息、敏感信息、潜在风险、漏洞审计、资产清单 BOM、漏洞审计、License 审计、安全审计和自定义审计9个部分。
概览
信息概览:包含系统信息和风险统计。单击风险内容可跳转至对应详情页。
安全审计(自定义审计):显示审计统计结果和检查规则结果。并给出WP.29法规对应风险类型。
详细信息
详细信息包含系统、权限、网络、存储、文件、进程、命令和外设。
以系统为例:部分列可做排序筛选,部分页面可模糊搜索。
文件和进程具有树状视图和列表视图。
树状视图可单击
列表视图,可根据类型、权限、ownerUser 等子项进行排序,针对单独的文件可以进行下载,部分文件可以进行第三方插件病毒检测;搜索区域可选择关键词模糊搜索。
敏感信息
敏感信息包含敏感 URI、IP、邮箱、私钥、密钥、隐私信息、密钥对象和 URI 密码。
以敏感 URI 为例,以根域名视角,查看分析项中包含的敏感 URI。URI 数量为该域名下检测到的不同 URI 数量。暴露数量为该 URI 涉及的文件个数。单击文件列表,展示所有涉及文件,且单击文件可以跳转详细信息 >文件列表,查看文件详细信息。
潜在风险
进程风险依据运行状态、涉及共享库 CheckSec 结果、漏洞审计结果定义风险等级,CheckSec 和漏洞审计结果单击 Warning 项跳转相关详情页。
潜在攻击链提供攻击端口、进程及影响范围。
漏洞审计
漏洞审计以第三方库或内核版本为视角,统计漏洞信息。
报告提供第三方库信息、漏洞统计、漏洞列表、风险等级、CVSS、漏洞标签(POC、EXP、重点关注)、漏洞状态等详细信息。
License 审计
License 审计以第三方库为视角,提供 License 信息,包括 License 名称、要求、来源及声明。
安全审计
安全审计会以 Checksec 审计、系统审计、通讯审计、服务审计、文件系统审计、信息审计、权限审计、安卓审计、应用审计以及开源组件审计为维度将系统扫描对应的规则详情,做详细的展开。
