當(dāng)前位置:首頁(yè) >  站長(zhǎng) >  建站經(jīng)驗(yàn) >  正文

APP滲透測(cè)試流程 漏洞檢測(cè)與安全加固方面介紹

 2020-02-11 11:16  來(lái)源: A5用戶投稿   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

目前越來(lái)越多的APP遭受到黑客攻擊,包括數(shù)據(jù)庫(kù)被篡改,APP里的用戶數(shù)據(jù)被泄露,手機(jī)號(hào)以及姓名,密碼,資料都被盜取,很多平臺(tái)的APP的銀行卡,充值通道,聚合支付接口也都被黑客修改過(guò),導(dǎo)致APP運(yùn)營(yíng)者經(jīng)濟(jì)損失太大,很多通過(guò)老客戶的介紹找到我們SINE安全公司,尋求安全防護(hù),防止攻擊,根據(jù)我們SINESAFE近十年的網(wǎng)絡(luò)安全從業(yè)來(lái)分析,大部分網(wǎng)站以及APP被攻擊的原因都是網(wǎng)站代碼存在漏洞以及服務(wù)器系統(tǒng)漏洞,包括安裝的服務(wù)器軟件都存在漏洞。關(guān)于APP滲透測(cè)試內(nèi)容,以及如何防止APP被攻擊的方法,我們總結(jié)一篇文章分享給大家,希望能幫到更多需要幫助的人。

目前2020年總體的APP安全滲透,在行業(yè)里是越來(lái)越認(rèn)可了,很多客戶受到攻擊后首先會(huì)想到找安全解決方案,尋求滲透測(cè)試公司,網(wǎng)站安全公司,網(wǎng)絡(luò)安全公司來(lái)幫忙解決攻擊的問(wèn)題,這是正常的安全需求,目前越來(lái)越多的客戶都是按照這個(gè)思路來(lái)的,我們講專(zhuān)業(yè)的術(shù)語(yǔ)來(lái)分析APP的安全以及滲透測(cè)試方面,其實(shí)APP分2個(gè)點(diǎn)來(lái)進(jìn)行漏洞檢測(cè),IOS系統(tǒng)目前很封閉,比較安全一些,安卓Android端的安全太差,漏洞較多大部分的滲透測(cè)試都是基于安卓平臺(tái)來(lái)的,APP滲透測(cè)試內(nèi)容如下:

APP接口安全滲透也叫API接口滲透,HTTPS不是以前只有大平臺(tái),商城系統(tǒng)使用,更多的APP以及網(wǎng)站都采用的是HTTPS加密SSL傳輸,包括現(xiàn)在的IOS9.0版本以上都已經(jīng)強(qiáng)制使用HTTPS訪問(wèn),接口的加密算法滲透,與逆向破解是必須要進(jìn)行的,包括現(xiàn)在很多安卓端以及蘋(píng)果端都在使用的一種加密算法,包含了AES,+RSA算法特殊加密。也就是說(shuō)APP的通信加密可以做到多層,第一層是HTTPS,第二層就是AES加密算法的通信加密,利用秘鑰將一些特殊的數(shù)據(jù)進(jìn)行加密傳輸,防止被竊聽(tīng),在進(jìn)行滲透測(cè)試的時(shí)候也會(huì)對(duì)該加密算法進(jìn)行破解與逆向,看是否可以拿到秘鑰進(jìn)行解密操作。

對(duì)APK,DEX文件進(jìn)行安全驗(yàn)證滲透,測(cè)試包是否可以反編譯,以及包中的數(shù)據(jù)以及配置文件是否可以被逆向破解查看到,有些客戶APP被人反編譯導(dǎo)致APP里植入木馬后門(mén)重新打包放到網(wǎng)上讓用戶下載,導(dǎo)致很多人的手機(jī)中木馬后門(mén),甚至竊取用戶的APP平臺(tái)的賬號(hào)密碼,這里我們建議客戶對(duì)APK,DEX包進(jìn)行MD5,CRC32算法驗(yàn)證簽名。

再一個(gè)滲透測(cè)試的內(nèi)容是防動(dòng)態(tài)注入,對(duì)APP進(jìn)行動(dòng)態(tài)的進(jìn)程調(diào)用以及注入進(jìn)行檢測(cè),測(cè)試是否可以利用數(shù)據(jù)包進(jìn)行注入,篡改APP的數(shù)據(jù),包括post數(shù)據(jù)等等,正常我們安全加固都會(huì)在APP里寫(xiě)入進(jìn)程查看,檢查是否有hook工具以及惡意軟件的進(jìn)行,如果有直接關(guān)閉APP,包括IP代理訪問(wèn)APP檢測(cè),如果有直接關(guān)閉軟件。

接下來(lái)就是大部分APP嵌入網(wǎng)站代碼的安全滲透測(cè)試,目前移動(dòng)互聯(lián)網(wǎng)的APP大部分都是采用的web方式進(jìn)行的,也就說(shuō)APP的滲透測(cè)試也包含了網(wǎng)站滲透測(cè)試,服務(wù)內(nèi)容如下:

越權(quán)漏洞:檢測(cè)APP平臺(tái)里的功能是否存在越權(quán)操作,查看,編輯用戶資料,等等的越權(quán),比如普通用戶可以使用管理員的權(quán)限去查看任意用戶的資料,包括聯(lián)系方式,手機(jī)號(hào),銀行卡等信息,越權(quán)修改其他賬號(hào)的頭像。

文件上傳漏洞,檢測(cè)APP頭像上傳,以及留言反饋等可以上傳圖片的功能里是否存在可以繞過(guò)文件格式漏洞,上傳PHP,JAVA,JSP,WAR等腳本等木馬文件到APP目錄里。

短信盜刷漏洞:在用戶的注冊(cè),找回密碼,設(shè)置二級(jí)密碼,修改銀行卡等重要操作的時(shí)候獲取手機(jī)短信驗(yàn)證碼的功能里是否存在短信多次發(fā)送,重復(fù)發(fā)送,1分鐘不限制發(fā)送次數(shù)的漏洞檢測(cè)與滲透測(cè)試。

SQL注入漏洞:對(duì)APP的用戶登錄,充值頁(yè)面,修改銀行卡,提交留言反饋,商品購(gòu)買(mǎi),提現(xiàn)功能里可以將惡意的SQL注入代碼植入到APP里,并發(fā)送到后端數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行查詢,寫(xiě)入,刪除等SQL操作的滲透于檢測(cè)。

敏感信息泄露漏洞:有些APP未對(duì)提交返回的內(nèi)容進(jìn)行加密,導(dǎo)致返回的數(shù)據(jù)中包含了用戶的信息,賬號(hào),密碼,都是明文顯示,通過(guò)修改ID值可以任意的查看到其他會(huì)員的信息。

XSS跨站漏洞:有些APP意見(jiàn)反饋,頭像上傳地址功能里是否可以插入XSS跨站代碼,導(dǎo)致后臺(tái)管理員查看留言的時(shí)候可以觸發(fā)XSS跨站攻擊,導(dǎo)致后臺(tái)的登錄地址,COOKIS都被攻擊者獲取到。

弱口令漏洞,包括服務(wù)器的root賬號(hào)密碼,以及redis密碼,網(wǎng)站后臺(tái)管理員賬號(hào)密碼都可能存在弱密碼,像123456.admin,admin8888等等都是屬于弱口令,這方面也是需要進(jìn)行滲透測(cè)試的。

以上就是APP滲透測(cè)試服務(wù)內(nèi)容,大體上就是這些,我們SINE安全對(duì)對(duì)客戶進(jìn)行APP滲透測(cè)試的時(shí)候都會(huì)對(duì)以上項(xiàng)目進(jìn)行安全測(cè)試,APP漏洞檢測(cè),幫助客戶找到漏洞,避免后期發(fā)展較大而產(chǎn)生重大的經(jīng)濟(jì)損失,安全也不是絕對(duì)的,只能是盡全力把安全做到最大化,知彼知己百戰(zhàn)不殆,只有真正的了解了自己的APP,以及存在的漏洞,才能把安全做好,做到極致,如果您的APP被黑客攻擊不知該如何解決,可以找我們SINE安全做滲透測(cè)試服務(wù),找到攻擊漏洞源頭,修復(fù)漏洞,對(duì)APP進(jìn)行安全加固與防護(hù),防止后期繼續(xù)被攻擊,將損失降到最低。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

  • 網(wǎng)站做漏洞滲透測(cè)試服務(wù)的重要性

    現(xiàn)實(shí)生活中小企業(yè)面對(duì)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)多種多樣。而真正的隱患,是公司覺(jué)得自己自身非常安全,卻不知道隱患早就滲透到里面,見(jiàn)機(jī)行事。隨著安全產(chǎn)業(yè)的發(fā)展和技術(shù)人員安全防范意識(shí)的提升

  • APP滲透測(cè)試的主要步驟

    在開(kāi)始APP滲透測(cè)試時(shí),根據(jù)需要制定步驟,并向委托方詳細(xì)說(shuō)明需要使用的工具、方法等。具體操作時(shí),會(huì)把滲透測(cè)試分成三個(gè)部分和階段,不同的角度使區(qū)別的方法有所不同,例如在理論上把滲透測(cè)試分為準(zhǔn)備階段、滲透測(cè)試階段、整體對(duì)比與評(píng)估階段,而在技術(shù)操作上分為探測(cè)、攻擊滲透、目標(biāo)權(quán)限獲取三個(gè)階段。

    標(biāo)簽:
    APP滲透測(cè)試
  • 網(wǎng)站安全防護(hù)滲透測(cè)試常見(jiàn)的攻擊方法

    國(guó)內(nèi)對(duì)滲透測(cè)試以及安全評(píng)估的研究起步較晚,并且大多集中在在滲透測(cè)試技術(shù)上的研究,安全評(píng)估方面也有部分企業(yè)和研宄團(tuán)體具有系統(tǒng)的評(píng)估方式。然而國(guó)內(nèi)對(duì)基于滲透測(cè)試的自動(dòng)化集成系統(tǒng)研宄還非常少

  • 網(wǎng)站安全防護(hù)之常見(jiàn)漏洞有哪些

    文件包含漏洞。文件包含函數(shù)中包含的文件參數(shù)沒(méi)有過(guò)濾或嚴(yán)格定義,參數(shù)可以由用戶控制,可能包含意外文件。如果文件中存在惡意代碼,無(wú)論文件是什么后綴類(lèi)型,文件中的惡意代碼都會(huì)被解析執(zhí)行,導(dǎo)致文件包含漏洞。

  • 網(wǎng)站滲透測(cè)試漏掃工具的另類(lèi)用法

    對(duì)于第三方插件,我們?cè)诮y(tǒng)一調(diào)度機(jī)制和庫(kù)文件上花了不少功夫,還有一個(gè)關(guān)鍵點(diǎn)就是轉(zhuǎn)換庫(kù)的格式。在各種插件的上報(bào)過(guò)程中,我們會(huì)盡量為第三方插件掛接數(shù)據(jù)上報(bào)層,統(tǒng)一格式后上報(bào)。但是,并不是每種插件都有一個(gè)統(tǒng)一的將記錄放入庫(kù)中的過(guò)程,可能需要為這種插件重寫(xiě)函數(shù)。目前我們的插件都是點(diǎn)擊式的。為了符合法律法規(guī)層面

    標(biāo)簽:
    滲透測(cè)試

熱門(mén)排行

信息推薦