APP滲透測(cè)試流程 漏洞檢測(cè)與安全加固方面介紹

目前越來(lái)越多的APP遭受到黑客攻擊，包括數(shù)據(jù)庫(kù)被篡改，APP里的用戶數(shù)據(jù)被泄露，手機(jī)號(hào)以及姓名，密碼，資料都被盜取，很多平臺(tái)的APP的銀行卡，充值通道，聚合支付接口也都被黑客修改過(guò)，導(dǎo)致APP運(yùn)營(yíng)者經(jīng)濟(jì)損失太大，很多客戶尋求安全防護(hù)，防止攻擊，根據(jù)我們近十年的網(wǎng)絡(luò)安全從業(yè)來(lái)分析，大部分網(wǎng)站以及APP被攻擊的原因都是網(wǎng)站代碼存在漏洞以及服務(wù)器系統(tǒng)漏洞，包括安裝的服務(wù)器軟件都存在漏洞。關(guān)于APP滲透測(cè)試內(nèi)容，以及如何防止APP被攻擊的方法，我們總結(jié)一篇文章分享給大家，希望能幫到更多需要幫助的人。

目前2020年總體的APP安全滲透，在行業(yè)里是越來(lái)越認(rèn)可了，很多客戶受到攻擊后首先會(huì)想到找安全解決方案，尋求滲透測(cè)試公司，網(wǎng)站安全公司，網(wǎng)絡(luò)安全公司來(lái)幫忙解決攻擊的問(wèn)題，這是正常的安全需求，目前越來(lái)越多的客戶都是按照這個(gè)思路來(lái)的，我們講專業(yè)的術(shù)語(yǔ)來(lái)分析APP的安全以及滲透測(cè)試方面，其實(shí)APP分2個(gè)點(diǎn)來(lái)進(jìn)行漏洞檢測(cè)，IOS系統(tǒng)目前很封閉，比較安全一些，安卓Android端的安全太差，漏洞較多大部分的滲透測(cè)試都是基于安卓平臺(tái)來(lái)的，APP滲透測(cè)試內(nèi)容如下：

APP接口安全滲透也叫API接口滲透，HTTPS不是以前只有大平臺(tái)，商城系統(tǒng)使用，更多的APP以及網(wǎng)站都采用的是HTTPS加密SSL傳輸，包括現(xiàn)在的IOS9.0版本以上都已經(jīng)強(qiáng)制使用HTTPS訪問(wèn)，接口的加密算法滲透，與逆向破解是必須要進(jìn)行的，包括現(xiàn)在很多安卓端以及蘋(píng)果端都在使用的一種加密算法，包含了AES,+RSA算法特殊加密。也就是說(shuō)APP的通信加密可以做到多層，第一層是HTTPS，第二層就是AES加密算法的通信加密，利用秘鑰將一些特殊的數(shù)據(jù)進(jìn)行加密傳輸，防止被竊聽(tīng)，在進(jìn)行滲透測(cè)試的時(shí)候也會(huì)對(duì)該加密算法進(jìn)行破解與逆向，看是否可以拿到秘鑰進(jìn)行解密操作。

對(duì)APK，DEX文件進(jìn)行安全驗(yàn)證滲透，測(cè)試包是否可以反編譯，以及包中的數(shù)據(jù)以及配置文件是否可以被逆向破解查看到，有些客戶APP被人反編譯導(dǎo)致APP里植入木馬后門重新打包放到網(wǎng)上讓用戶下載，導(dǎo)致很多人的手機(jī)中木馬后門，甚至竊取用戶的APP平臺(tái)的賬號(hào)密碼，這里我們建議客戶對(duì)APK，DEX包進(jìn)行MD5,CRC32算法驗(yàn)證簽名。

再一個(gè)滲透測(cè)試的內(nèi)容是防動(dòng)態(tài)注入，對(duì)APP進(jìn)行動(dòng)態(tài)的進(jìn)程調(diào)用以及注入進(jìn)行檢測(cè)，測(cè)試是否可以利用數(shù)據(jù)包進(jìn)行注入，篡改APP的數(shù)據(jù)，包括post數(shù)據(jù)等等，正常我們安全加固都會(huì)在APP里寫(xiě)入進(jìn)程查看，檢查是否有hook工具以及惡意軟件的進(jìn)行，如果有直接關(guān)閉APP，包括IP代理訪問(wèn)APP檢測(cè)，如果有直接關(guān)閉軟件。

接下來(lái)就是大部分APP嵌入網(wǎng)站代碼的安全滲透測(cè)試，目前移動(dòng)互聯(lián)網(wǎng)的APP大部分都是采用的web方式進(jìn)行的，也就說(shuō)APP的滲透測(cè)試也包含了網(wǎng)站滲透測(cè)試，服務(wù)內(nèi)容如下：

越權(quán)漏洞：檢測(cè)APP平臺(tái)里的功能是否存在越權(quán)操作，查看，編輯用戶資料，等等的越權(quán)，比如普通用戶可以使用管理員的權(quán)限去查看任意用戶的資料，包括聯(lián)系方式，手機(jī)號(hào)，銀行卡等信息，越權(quán)修改其他賬號(hào)的頭像。

文件上傳漏洞，檢測(cè)APP頭像上傳，以及留言反饋等可以上傳圖片的功能里是否存在可以繞過(guò)文件格式漏洞，上傳PHP，JAVA，JSP，WAR等腳本等木馬文件到APP目錄里。

短信盜刷漏洞：在用戶的注冊(cè)，找回密碼，設(shè)置二級(jí)密碼，修改銀行卡等重要操作的時(shí)候獲取手機(jī)短信驗(yàn)證碼的功能里是否存在短信多次發(fā)送，重復(fù)發(fā)送，1分鐘不限制發(fā)送次數(shù)的漏洞檢測(cè)與滲透測(cè)試。

SQL注入漏洞：對(duì)APP的用戶登錄，充值頁(yè)面，修改銀行卡，提交留言反饋，商品購(gòu)買，提現(xiàn)功能里可以將惡意的SQL注入代碼植入到APP里，并發(fā)送到后端數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行查詢，寫(xiě)入，刪除等SQL操作的滲透于檢測(cè)。

敏感信息泄露漏洞：有些APP未對(duì)提交返回的內(nèi)容進(jìn)行加密，導(dǎo)致返回的數(shù)據(jù)中包含了用戶的信息，賬號(hào)，密碼，都是明文顯示，通過(guò)修改ID值可以任意的查看到其他會(huì)員的信息。

XSS跨站漏洞：有些APP意見(jiàn)反饋，頭像上傳地址功能里是否可以插入XSS跨站代碼，導(dǎo)致后臺(tái)管理員查看留言的時(shí)候可以觸發(fā)XSS跨站攻擊，導(dǎo)致后臺(tái)的登錄地址，COOKIS都被攻擊者獲取到。

弱口令漏洞，包括服務(wù)器的root賬號(hào)密碼，以及redis密碼，網(wǎng)站后臺(tái)管理員賬號(hào)密碼都可能存在弱密碼，像123456.admin，admin8888等等都是屬于弱口令，這方面也是需要進(jìn)行滲透測(cè)試的。

以上就是APP滲透測(cè)試服務(wù)內(nèi)容，大體上就是這些，我們對(duì)客戶進(jìn)行APP滲透測(cè)試的時(shí)候都會(huì)對(duì)以上項(xiàng)目進(jìn)行安全測(cè)試，APP漏洞檢測(cè)，幫助客戶找到漏洞，避免后期發(fā)展較大而產(chǎn)生重大的經(jīng)濟(jì)損失，安全也不是絕對(duì)的，只能是盡全力把安全做到大化，知彼知己百戰(zhàn)不殆，只有真正的了解了自己的APP，以及存在的漏洞，才能把安全做好，做到極致，如果您的APP被黑客攻擊不知該如何解決，可以找滲透測(cè)試公司做滲透測(cè)試服務(wù)，找到攻擊漏洞源頭，修復(fù)漏洞，對(duì)APP進(jìn)行安全加固與防護(hù)，防止后期繼續(xù)被攻擊，將損失降到最低。

當(dāng)前名稱：APP滲透測(cè)試流程 漏洞檢測(cè)與安全加固方面介紹
文章源于：http://www.bm7419.com/news/33263.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供云服務(wù)器、面包屑導(dǎo)航、企業(yè)網(wǎng)站制作、網(wǎng)站制作、ChatGPT、企業(yè)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)