斗象科技

上海斗象信息科技有限公司(以下简称斗象科技)是国内创新型互联网安全服务商,始终致力于为企业提供优质的网络安全解决方案。旗下品牌包括互联网安全新媒体FreeBuf ,互联网安全服务平台 漏洞盒子、安全监控与分析系统 网藤风险感知。
斗象科技成立至今,凭借在信息安全与企业安全服务市场的专业性见解和强大技术实力,建立了长远的战略目标和良好的客户口碑。作为国内具有创新性的安全服务提供商之一,斗象科技的产品及服务已被企业和投资者认可。不到两年的时间,公司已经拥有了包括联想、平安、SONY、顺丰、中国移动、腾讯、支付宝、银联、广发银行、海尔等近400家核心客户,覆盖了包括互联网、金融、电商、游戏、IoT在内的诸多领域,也是国家互联网应急中心(CNCERT)、国家信息安全漏洞共享平台(CNVD)、公安部第三研究所等指导机构的技术支撑单位与重要合作伙伴。

优质服务
漏洞盒子
白帽子众测服务
网藤风险感知
安全咨询服务

服务资源

安全人才
  • 曾裕智
    斗象科技项目经理,前支付宝安全专家

    从事过网络游戏,电子商务,互联网等多个行业,在信息安全工作超过10年。曾裕智长期专注于先进安全技术研究和转化,并将先进安全技术应用于实际企业安全建设中,多有建树。曾在国内多家知名互联网公司任职,负责企业信息安全体系建设,企业系统网络安全,安全应急响应工作。

  • 陆柏廷
    斗象科技首席安全专家, ISF互联网安全论坛联合创始人

    拥有8年的信息安全从业经历,有丰富的应用安全实施经验, 专注于软件安全开发的研究和推广。 曾多次在大型安全会议上参与演讲,对安全技术及其理解方面有独到的见解,为华为、银联、平安金科等大型企业做安全测试服务,成为首席安全专家。

  • 徐钟豪
    斗象科技首席安全顾问

    熟悉国际国内信息安全法律法规与标准,曾参与多个省市信息安全体系设计与智慧城市信息安全顶层设计,拥有超过12年的信息安全从业经历。

  • 张天琪
    斗象科技CTO,前阿里巴巴安全专家

    应用安全专家,xKungFoo,xDef等国内外安全会议演讲者,多次发现Google,Yahoo,Ebay,Twitter等国外知名厂商安全问题并获得公开致谢。

技术特点
漏洞盒子

国内领先的互联网安全服务商,为企业定制专业的服务方案

漏洞盒子在线注册签约白帽子3万余名,核心白帽子5千余名,他们有着丰富的测试经验。针对政府企业、电子商务、IoT、互联网金融等多个领域有各自独特的解决方案,在Web应用、移动APP、智能硬件等领域有多年的技术积累,积攒形成独特的漏洞挖掘技术解决方案,并有着丰富的实践经验。

主要擅长技术领域

  • 1、擅长Web应用安全;
  • 2、擅长APT测试;
  • 3、擅长业务逻辑安全分析;
  • 4、擅长固件安全加固;
  • 5、擅长接口安全;
  • 6、擅长传输协议分析;
  • 7、擅长JAVA安全;
  • 8、擅长SQL注入检测;
  • 9、敏感文件泄露检测;
  • 10、敏感内容泄露检测;
  • 11、系统服务漏洞检测;
  • 12、认证登录信息猜解;
  • 等等;
专业设备
硬件

网藤风险感知平台:以IT资产为核心的安全监控与分析平台,为企业建立全新模式下的自动化安全服务。
ARS:主动风险感知引擎,具有内网穿透扫描的专业漏洞扫描器,支持Web漏洞扫描、系统漏洞检查、业务资产发现、弱密码扫描、全网敏感信息侦查等功能,并提供资产管理、风险管理等管理功能让用户实时了解自己的资产信息、风险信息,并进行可视化展示其变化态势。

PRS:被动式流量监测,对企业内网所有网络流量7*24小时进行监测,发现企业所有IT资产、并对资产所存在安全漏洞、运维缺陷、人为弱点、威胁情报、攻击事件提供告警,让用户实时了解自己的资产安全状态,并进行可视化展示其变化态势。 网藤风险感知平台主要提供资产发现与管理、风险识别与分析、全网敏感信息侦查、威胁情报告警、漏洞扫描检测与生命周期管理等功能。作为自主研发的新一代智能安全检测分析的防护系统,为企业带来高效便捷的自动化风险管理。

八大优势:深度资产边界梳理、大数据威胁情报侦察、内置漏洞跟踪系统、极速风险监控响应、开放的API、风险生命周期高效管理、社区安全智库支撑、日志安全审计,运用全新的安全体系,真正做到智能化风险管理。

软件

漏洞盒子(VULBOX):是国内领先的互联网安全服务商,漏洞盒子为企业定制最专业的服务方案。

漏洞盒子(VULBOX)在线注册签约白帽子3万余名,核心白帽子5千余名;与国内优秀测试团队保持长期合作关系。
自有来自安全领域影响力颇深的各大安全厂商组成的核心“狼牙”、“猛犸”团队,拥有丰富的实战经验,输出高质量的测试服务,庞大的白帽子与自有团队两者相结合的测试模式为您的信息系统进行全方位“安全体检”,保障您的信息系统安全。

漏洞盒子(VULBOX)采用多样化的测试服务模式、透明、高效的管控机制;渗透测试全流程透明化,实时监控测试进程;明确测试范围准线、不越雷池半步,严格遵守保密协议;参测人员实名认证,VPN、堡垒机流量监控,资深安全技术、严格保障机制;

服务内容

斗象科技致力于为客户提供完备的下一代互联网安全服务,成为值得信赖的安全守护神。我们主要的服务如下:
白帽子众测服务

漏洞盒子平台拥有大量测试经验丰富的认证白帽子和自有高级安全测试专家团队两种类型的安全技术人员参与测试。为企业提供覆盖企业所有产品的测试服务(如:Web应用、移动app)及所有移动APP开发版本(如:Android、ios)等涉及的安全测试服务。项目均以私密级测试的方式,严格保障企业测试内容及数据安全。漏洞盒子平台上项目经理负责安全测试过程中的协调与管理, 提供实施风险控制、漏洞生命周期管理。对挖掘出漏洞后信息完全保密。

漏洞盒子专家内测

漏洞专家内测为企业提供框架式性安全测试服务,覆盖企业所有产品及所有开发版本。漏洞专家内测根据不同产品特征为其匹配专属的测试团队,全面接管产品测试环节,采用内部多组竞技性独特的测试模式,高效专业的测试团队进行深度检测。为每个项目设置专属项目经理,负责安全测试过程协调及管理,漏洞生命周期管理,配置专属项目助手,实时为客户反馈最新的测试进度情况,提供更为专业的渗透测试及漏洞报告,并给出具有针对性的加固方案,提升客户满意度;

APT测试

漏洞盒子安全团队依托自身的安全产品网藤风险感知系统,集静态检测技术及动态分析技术为一身,关联分析能力强,协同Web、邮件、文件检测系统的配合检测,快速、全方位识别APT攻击行为。并为客户提供APT测试报告,会对发现问题的思路与手法进行必要的说明,并且结合目标系统环境,对安全问题进行风险分析,出具针对性解决方案。对于用户无法确定的攻击行为和攻击样本,可提供高级技术支持,协助用户对攻击进行分析,用以对抗高技术的黑客。

安全咨询服务

信息安全咨询服务、(如:企业信息安全规划方面)信息安全等级保护咨询服务、SDLC(系统生命周期)咨询服务,为企业提供信息安全技术和安全管理,建立企业自身的信息安全管理框架,帮助企业科学地控制软件的开发过程,增强可预测性,提升企业的整体经济效益。

安全培训服务

培训相关信息安全的基本概念、原则,常见的安全威胁和风险及其相应的处理方法;如何在日常工作中养成良好的安全习惯。同时,我们会不定期的推送关于安全意识教育的宣传资讯、安全意识案例,更好的让读者结合实际去理解信息安全的重要性,全面提高信息安全意识水平。

安全开发培训

漏洞盒子专业的安全团以丰富的安全测试经验,为系统开发人员提供安全编码规范、规则的咨询和建议,提前避免不安全的编码方式,提高源代码自身的安全性。培训企业安全团队风险安全意识,可实现例行安全测试功能,降低新产品上线前残留漏洞风险,提高安全壁垒。

WEB漏洞原理及挖掘培训

培训讲解渗透所需的代码知识,培养挖掘漏洞的思维方式,增加挖掘漏洞思路和方法,提升挖掘漏洞的能力。主要内容包括: HTTP协议的相关知识、CSRF、SSRF、文件上传、代码执行、暴力破解、旁注、提权等相关技术,常见的解析漏洞,上传漏洞原理,各种注入原理、XSS、DOM,使其掌握一些常见的漏洞挖掘技术编写等。培训各种渗透测试工具的使用方法,如:Nmap、BurpSuite、AWVS、Metasploit等,针对Metaspoit、SQLmap/Burpsite等安全工具进行深度解剖析。

风险评估服务

确定风险评估的范围、确定风险评估的目标、建立适当的组织结构、建立系统化的风险评估方法、获得最高管理者对风险评估策划的批准。识别并评价资产之后,我们将进行识别每项(类)资产可能面临的威胁源,并描述其性质和特征。通过识别工作,找出合适的自然威胁列表,对人为威胁应描述其威胁如何发生,测试其威胁相关事件的可能性,同时进行评估性工作。针对脆弱性评估主要是通过技术脆弱性和管理脆弱性来进行识别。根据风险分析的结果,综合考虑客户在线业务系统的实际情况、成本因素等选择相应的管理或技术控制手段,并结合已经发现的业务系统风险,给出整改建议。

安全加固服务

漏洞盒子安全团队为了有效保障网络的正常运行,保证网络的安全,根据对网络进行全面安全的扫描和弱点分析,对网络的服务器、网络设备、工作站等存在漏洞的系统进行安全加固。 包括打补丁、停止不必要的服务、升级或更换程序、除去特洛伊后门程序、修改配置及权限以及针对复杂问题的专门解决方案。
主要涉及:操作系统安全加固、应用系统(WEB系统、数据库)安全加固、网络设备安全加固。

红蓝军演练服务

通过漏洞盒子安全专家搭建真实的网络环境,进行攻防对抗,利用学习的安全知识进行实战运用,攻防双方相互攻击与防御,夺取FLAG或者对方系统权限,最先完成的一方为胜方。通过学习的技能与工具对演练环境目标模拟黑客进行攻击(如SQL注入、文件上传、暴力破解、命令执行等)从而,帮助客户了解到当前安全的发展状况与业界最新的安全攻击防御技术,让客户技术人员深入了解掌握安全业界的安全漏洞的成因、漏洞利用、漏洞的防御方法,提升学员安全技能与企业安全防护能力,整体提升企业安全建设水平,促进企业信息安全的发展。

漏洞预警服务

定期为企业互联网业务系统进行系统监控,包含基础设施服务进行安全监控。另外,不间断更新互联网高危漏洞库,在发现漏洞后立即进行预警,更好的降低企业互联网安全风险,确保基础设施安全问题在监控后立即发现。同时,为企业提供行业网络安全情报服务,让企业掌握行业安全第一手信息。

应急响应服务

为企业提供安全事件应急响应处置服务,及时解决安全故障,修复系统,弥补安全故障发生系统上的安全漏洞,加强安全保护措施,防止类似事件的再次发生,使企业尽可能挽回或减少损失。对安全故障发生的系统作安全检查和清理,保证信息系统安全。收集由于安全故障造成的入侵记录、破坏情况、直接损失情况等证据,已备后续维权依据。我们针对在应急响应服务的所遇到的安全问题、安全事故处理过程、处理结果,48小时汇总形成应急响应服务结果报告,提交给企业。

服务优势

漏洞盒子官方安全专家团

漏洞盒子自建了一支由国内外安全专家组成的精英团队。团队成员均具备多年的漏洞挖掘、渗透测试经验,自组建以来多次帮助Google,Yahoo,Ebay,Twitter,Microsoft等国内外知名企业发现安全漏洞并获得官方公开致谢。

最全面的测试技术

上百种人工、自动化侦测,全面扫描所有的服务器和服务器集群,覆盖全部最新安全检测技术和专家级人工测试技巧。
模拟黑客入侵行为,尝试深度渗透网络以获取最高管理权限及机密数据。
尝试多种技术渗透入侵,包括业务逻辑安全测试,真正解读业务系统的防御能力。
紧随业界安全动向与漏洞,通过对系统不定期的安全抽查,确保系统时刻维持最高安全度。

贴合企业需求的服务形式与测试模式

漏洞盒子可为企业提供长期和短期的安全服务,长期服务可大大降低企业组建独立安全应急响应团队的成本;在测试模式方面,企业可根据自身需求(如项目重要性、私密性)选择最适合的测试模式。

科学的漏洞处理流程

漏洞盒子平台中的漏洞处理流程是斗象科技通过调研数十家大型企业的漏洞响应流程,并结合多位业界资深专家意见,为厂商量身定制的企业级解决方案。通过科学且严谨的漏洞处理流程,保证了漏洞从审阅到修复全过程的安全、高效。

严格的测试人员审核制度

漏洞盒子平台将根据项目需求,限制参与测试的人员,认证资料包含身份证、姓名、联系方式,同时平台还会与审核通过的测试人员签订具有法律效应的保密协议。

风险控制与私密性保护

漏洞盒子在服务风险控制和私密信息保护方面启用了多项措施,可通过堡垒机、VPN等对测试进行全程审计,保障漏洞盒子的每项服务环节安全可靠。

服务资质

公司资质
荣誉证明
荣誉证明

典型客户

目前斗象科技已与多家大型厂商建立合作关系并提供服务,涵盖了包括互联网金融、电商、物联网在内的诸多领域
政府企业领域

Haier 、银联、中国平安、顺丰科技、中国移动;

互联网金融领域

支付宝、顺丰金融、诺亚财富、借贷宝;

电子商务领域

苏宁电器、小米、蘑菇街;

IoT领域

海康威视、SONY、lenovo联想、Haier。