移动应用安全漏洞扫描及风险评估系统（MSCAN）是基于移动应用安全领域多年的经验和技术研究积累，面对新的移动应用网络安全形势研发出来的新一代智能安全产品。

MSCAN采用移动APP动态模糊检测技术、漏洞智能识别技术、漏洞动态验证技术、主动探寻移动应用APP服务端漏洞等技术；全面支持Android/iOS应用，可对微信公众号和订阅号，HTML5，Web服务端进行多维度的安全漏洞扫描，并全面、快速、自动地生成安全风险评估报告；评估报告包含了漏洞描述、危害和修复建议等内容，为广大移动应用APP厂商、第三方用户、移动应用APP测试/安全管理人员对移动应用系统进行安全风险评估提供了便利。

1. 产品主要功能

1.1. 流量抓取和分析引擎

获取监听的HTTP的流量，从流量中自动提取资产列表，并利用URL深度去重系统进行URL分类和去重，以供后续漏洞扫描引擎模块使用。

1.2. 调度引擎模块

采用内置算法实时监控系统任务运行情况，对各任务进行优化和调整，实现系统资源充分利用及任务高效稳定运行。

1.3. 扫描引擎模块

根据配置策略，对被扫描对象进行全面准确的web漏洞、网页挂马、服务器漏洞、内网等漏洞进行检测。

1.4. 应用安全检测

在移动端APP自身的安全问题更为重要，这就需要开发者在产品开发期间就做好安全工作。应用安全检测是帮助开发人员验证测试APP本身应用包的安全风险和逆向检测。应用安全检测主要检测的内容包括：逆向工程检测、重打包检测、组件安全等。

1.5. 业务操作安全检测

业务操作安全测试检测帮助APP测试人员测试APP运行执行业务操作流程的安全可靠性，及快速发现APP的中密码体系设计是否完整。帮助测试人员更专注于分析APP整个业务操作体系的设计缺陷。业务操作安全测试检测主要检测的内容包括：登录业务安全、验证码安全检测等。

1.6. 数据通信安全检测

数据通信安全检测对APP运行和关闭状态多有数据的安全检测。帮助APP测试人员测试APP数据的生产、传输、存储、使用各个环节及APP数据在网络传输过程中的薄弱点。数据安全检测主要检测的内容包括：数据有效性检测、会话信息检测等。

1.7. 服务端安全检测

服务端安全检测是测试服务端的稳定性和安全性。帮助APP测试人员快速及时发现服务端隐藏的安全风险，提高服务器的抗攻击能力和安全性。服务端安全检测包括但不仅限于（SQL代码注入漏洞、弱口令漏洞、服务器端信息泄漏等漏洞检测）。

1.8. 完善的结果展示

移动安全Web漏洞扫描及风险评估系统对每个测试流程细到每个测试小项都会有记录，最后整合所有测试项并对测试结果进行评分得出一个直观的应用测试报告。报告包含应用基本信息、测试相关信息、测试结果、测试评分等内容，报告可输出多种格式。

1.9. 多用户管理及审计

1.9.1. 多用户管理

Ø 管理员权限划分：操作员、分析员、管理员、审计员、超级安全员等角色。

1.9.2. 操作日志和审计

Ø 管理员的登录成功和失败

Ø 对安全角色进行增加、删除和属性修改的操作

Ø 对扫描结果的备份和删除

Ø 管理员的其他操作等