#APP滲透測試#目前越來越多的APP遭受到黑客攻擊,包括資料庫被篡改,APP裡的使用者資料被洩露,手機号以及姓名,密碼,資料都被盜取,很多平台的APP的銀行卡,充值通道,聚合支付接口也都被黑客修改過,導緻APP營運者經濟損失太大,很多通過老客戶的介紹找到我們SINE安全公司,尋求安全防護,防止攻擊,根據我們SINESAFE近十年的網絡安全從業來分析,大部分網站以及APP被攻擊的原因都是網站代碼存在漏洞以及伺服器系統漏洞,包括安裝的伺服器軟體都存在漏洞。關于APP滲透測試内容,以及如何防止APP被攻擊的方法,我們總結一篇文章分享給大家,希望能幫到更多需要幫助的人。
目前2020年總體的APP安全滲透,在行業裡是越來越認可了,很多客戶受到攻擊後首先會想到找安全解決方案,尋求滲透測試公司,網站安全公司,網絡安全公司來幫忙解決攻擊的問題,這是正常的安全需求,目前越來越多的客戶都是按照這個思路來的,我們講專業的術語來分析APP的安全以及滲透測試方面,其實APP分2個點來進行漏洞檢測,IOS系統目前很封閉,比較安全一些,安卓Android端的安全太差,漏洞較多大部分的滲透測試都是基于安卓平台來的,APP滲透測試内容如下:
APP接口安全滲透也叫API接口滲透,HTTPS不是以前隻有大平台,商城系統使用,更多的APP以及網站都采用的是HTTPS加密SSL傳輸,包括現在的IOS9.0版本以上都已經強制使用HTTPS通路,接口的加密算法滲透,與逆向破解是必須要進行的,包括現在很多安卓端以及蘋果端都在使用的一種加密算法,包含了AES,+RSA算法特殊加密。也就是說APP的通信加密可以做到多層,第一層是HTTPS,第二層就是AES加密算法的通信加密,利用秘鑰将一些特殊的資料進行加密傳輸,防止被竊聽,在進行滲透測試的時候也會對該加密算法進行破解與逆向,看是否可以拿到秘鑰進行解密操作。
對APK,DEX檔案進行安全驗證滲透,測試包是否可以反編譯,以及包中的資料以及配置檔案是否可以被逆向破解檢視到,有些客戶APP被人反編譯導緻APP裡植入木馬後門重新打包放到網上讓使用者下載下傳,導緻很多人的手機中木馬後門,甚至竊取使用者的APP平台的賬号密碼,這裡我們建議客戶對APK,DEX包進行MD5,CRC32算法驗證簽名。
再一個滲透測試的内容是防動态注入,對APP進行動态的程序調用以及注入進行檢測,測試是否可以利用資料包進行注入,篡改APP的資料,包括post資料等等,正常我們安全加強都會在APP裡寫入程序檢視,檢查是否有hook工具以及惡意軟體的進行,如果有直接關閉APP,包括IP代理通路APP檢測,如果有直接關閉軟體。
接下來就是大部分APP嵌入網站代碼的安全滲透測試,目前移動網際網路的APP大部分都是采用的web方式進行的,也就說APP的滲透測試也包含了網站滲透測試,服務内容如下:
越權漏洞:檢測APP平台裡的功能是否存在越權操作,檢視,編輯使用者資料,等等的越權,比如普通使用者可以使用管理者的權限去檢視任意使用者的資料,包括聯系方式,手機号,銀行卡等資訊,越權修改其他賬号的頭像。
檔案上傳漏洞,檢測APP頭像上傳,以及留言回報等可以上傳圖檔的功能裡是否存在可以繞過檔案格式漏洞,上傳PHP,JAVA,JSP,WAR等腳本等木馬檔案到APP目錄裡。
短信盜刷漏洞:在使用者的注冊,找回密碼,設定二級密碼,修改銀行卡等重要操作的時候擷取手機短信驗證碼的功能裡是否存在短信多次發送,重複發送,1分鐘不限制發送次數的漏洞檢測與滲透測試。
SQL注入漏洞:對APP的使用者登入,充值頁面,修改銀行卡,送出留言回報,商品購買,提現功能裡可以将惡意的SQL注入代碼植入到APP裡,并發送到後端資料庫伺服器進行查詢,寫入,删除等SQL操作的滲透于檢測。
敏感資訊洩露漏洞:有些APP未對送出傳回的内容進行加密,導緻傳回的資料中包含了使用者的資訊,賬号,密碼,都是明文顯示,通過修改ID值可以任意的檢視到其他會員的資訊。
XSS跨站漏洞:有些APP意見回報,頭像上傳位址功能裡是否可以插入XSS跨站代碼,導緻背景管理者檢視留言的時候可以觸發XSS跨站攻擊,導緻背景的登入位址,COOKIS都被攻擊者擷取到。
弱密碼漏洞,包括伺服器的root賬号密碼,以及redis密碼,網站背景管理者賬号密碼都可能存在弱密碼,像123456.admin,admin8888等等都是屬于弱密碼,這方面也是需要進行滲透測試的。
以上就是APP滲透測試服務内容,大體上就是這些,我們SINE安全對對客戶進行APP滲透測試的時候都會對以上項目進行安全測試,APP漏洞檢測,幫助客戶找到漏洞,避免後期發展較大而産生重大的經濟損失,安全也不是絕對的,隻能是盡全力把安全做到最大化,知彼知己百戰不殆,隻有真正的了解了自己的APP,以及存在的漏洞,才能把安全做好,做到極緻,如果您的APP被黑客攻擊不知該如何解決,可以找我們SINE安全做滲透測試服務,找到攻擊漏洞源頭,修複漏洞,對APP進行安全加強與防護,防止後期繼續被攻擊,将損失降到最低。