關于APP漏洞檢測,分為兩個層面的安全檢測,包括手機應用層,以及APP代碼層,與網站的漏洞檢測基本上差不多,目前越來越多的手機應用都存在着漏洞,關于如何對APP進行漏洞檢測,我們詳細的介紹一下.
APP代碼:代碼加密解密,反混迹調試,模式器安裝
APP應用:跟網站漏洞檢測是一樣的,主要是一個SIGN值的正向,反向的算法,牽扯到https協定的傳輸繞過,SSL安全繞過。
APP漏洞檢測-經常出現的漏洞
APP使用者任意登入漏洞,有些使用者的登入調用的是token值,這個值是跟随使用者的ID值的,APP沒有做安全防護的情況下可以直接進行反編譯,暴力破解生成token,造成可以登入任何使用者的賬戶。在一個就是手機裡的目錄檔案,share_safe目錄裡,儲存了使用者的賬戶密碼等資訊,我們把使用者ID改為其他使用者的,密碼不變,再點開APP就可以登入其他使用者賬戶了。
APP支付安全繞過漏洞
通過修改APP軟體裡的參數值,進行抓包截取,修改參數值發送到伺服器端,進行繞過支付,直接開通會員,或者是充值。
APP資訊洩露漏洞
APK源代碼裡會存放一些開發代碼時候使用的IP位址,以及接收發送郵件的位址,賬号密碼,或者是一些隐蔽的第三方API接口。APP使用的資料庫遠端位址,以及一些mysql資料庫的賬号密碼。APK日志裡儲存登入的資訊,包括使用者的賬号密碼。
APP元件漏洞
相當于網站漏洞裡的邏輯功能漏洞,有些APP元件在軟體進行調用的時候并沒有對齊進行嚴格的安全過濾,導緻沒有進行安全驗證,就直接調用元件功能了。比如在調用發送手機短信,打開某個浏覽器,打開URL網站的元件時會産生漏洞。
APP反編譯漏洞
APK安卓下的軟體包可以被直接反編譯,導緻可以重新生成新的軟體,再一個反編譯軟體後對其進行修複。劫持軟體廣告,彈窗跳轉,下載下傳其他軟體等漏洞操作。