QIFANS.NET SECURITY UNIT

擎风实验室 QFLabs

让风险止于上线之前。

隶属于启帆网络的网络空间安全实验室。面向旗下业务与授权委托业务,开展安全测试、代码审计和风险验证,在明确边界内完成发现、修复与复测闭环。

CORE CAPABILITIES

从攻击面到代码深处

测试不是漏洞数量竞赛。我们关注可复现的风险、真实业务影响,以及能够被研发团队执行的修复建议。

01

Web 与 API 安全

围绕身份认证、权限边界、业务逻辑、数据暴露与常见 Web 攻击面开展黑盒和灰盒验证。

  • 渗透测试
  • 接口鉴权审计
  • 业务逻辑验证
02

代码与配置审计

从数据流、危险调用和信任边界出发,审查应用源码、依赖风险及关键环境配置。

  • 代码安全审计
  • 依赖风险检查
  • 配置基线审查
03

基础设施与云

识别外部暴露资产、弱配置与权限路径,验证网络边界和云资源访问策略的有效性。

  • 攻击面梳理
  • 云权限审查
  • 边界安全验证
04

上线前安全评估

参与需求与发布关键节点,以风险分级、整改跟踪和复测结果支持上线决策。

  • 安全设计评审
  • 发布门禁检查
  • 修复复测闭环

CONTROLLED WORKFLOW

每一次测试,都从边界开始

授权范围、测试窗口和应急联系人先于任何技术动作。流程可追踪,结论有证据,修复有复测。

ENGAGEMENT RULE 无授权,不测试
  1. 01

    需求确认

    明确业务目标、资产清单、测试类型和预期交付物。

  2. 02

    授权与边界

    确认书面授权、测试窗口、禁止动作与异常处置机制。

  3. 03

    测试与取证

    在最小影响原则下验证风险,保留可审计的复现证据。

  4. 04

    报告与修复

    按影响和可利用性分级,给出面向研发的整改建议。

  5. 05

    复测与归档

    验证修复有效性,记录残余风险并完成项目材料归档。

SCOPE & BOUNDARY

能力有范围,行动有红线

安全能力必须服从法律、授权与生产稳定性。所有项目均以资产所有权和明确委托关系为前提。

可评估范围
  • WEB网站与管理后台
  • API开放接口与内部服务
  • APP移动应用与小程序
  • CLOUD云资源与基础设施
  • CODE源码、依赖与配置
明确禁止事项
  • NO.1超出书面授权的资产探测
  • NO.2破坏性测试与业务中断
  • NO.3非必要的数据获取与留存
  • NO.4向无关第三方披露漏洞细节
  • NO.5绕过约定流程擅自扩大范围

WHITE HAT PRINCIPLES

技术锋利,行动克制

我们以防御改善为目的使用攻击视角。所有发现用于推动产品更可靠、数据更安全、边界更清晰。

01

合法授权

确认权属和授权链路后再开展工作。

02

负责任披露

敏感细节只向有修复职责的人员传递。

03

最小化原则

只验证结论所需的最小数据和最小影响。

04

持续改进

让单点漏洞沉淀为流程和工程能力提升。

START A REVIEW

把安全评估放进项目计划

请通过启帆网络现有业务渠道提交资产范围、期望窗口与评估目标。QFLabs 将在授权确认后介入。

前往 QiFans.net