大型公司一般都有自己的安全团队负责公司安全，小团队一般是找咨询和服务团队做支持。测试方法主要是分为白盒测试和黑盒测试，其中白盒测试以代码静态扫描为主，发现代码的安全漏洞。黑盒测试以扫描器为主，通过规则扫描对外开放的端口和 service。app 端会多一些反破解、反盗版和敏感信息泄漏等。无论是 app 还是 web，接口安全都是必须要关注的。常见的工具一般是 zap
burpsuite、 wvs 等。BAT 等公司内部也在用 wvs。

了解渗透性测试，推荐 appscan，挺容易上手的一款渗透性测试软件，能扫描出网站的一些漏洞并给出建议

同求