当前位置:首页 >  站长 >  建站经验 >  正文

APP渗透测试流程 漏洞检测与安全加固方面介绍

 2020-02-11 11:16  来源:A5用户投稿  我来投稿   websafe的个人主页 撤稿纠错

  短视频,自媒体,达人种草一站服务

目前越来越多的APP遭受到黑客攻击,包括数据库被篡改,APP里的用户数据被泄露,手机号以及姓名,密码,资料都被盗取,很多平台的APP的银行卡,充值通道,聚合支付接口也都被黑客修改过,导致APP运营者经济损失太大,很多通过老客户的介绍找到我们SINE安全公司,寻求安全防护,防止攻击,根据我们SINESAFE近十年的网络安全从业来分析,大部分网站以及APP被攻击的原因都是网站代码存在漏洞以及服务器系统漏洞,包括安装的服务器软件都存在漏洞。关于APP渗透测试内容,以及如何防止APP被攻击的方法,我们总结一篇文章分享给大家,希望能帮到更多需要帮助的人。

目前2020年总体的APP安全渗透,在行业里是越来越认可了,很多客户受到攻击后首先会想到找安全解决方案,寻求渗透测试公司,网站安全公司,网络安全公司来帮忙解决攻击的问题,这是正常的安全需求,目前越来越多的客户都是按照这个思路来的,我们讲专业的术语来分析APP的安全以及渗透测试方面,其实APP分2个点来进行漏洞检测,IOS系统目前很封闭,比较安全一些,安卓Android端的安全太差,漏洞较多大部分的渗透测试都是基于安卓平台来的,APP渗透测试内容如下:

APP接口安全渗透也叫API接口渗透,HTTPS不是以前只有大平台,商城系统使用,更多的APP以及网站都采用的是HTTPS加密SSL传输,包括现在的IOS9.0版本以上都已经强制使用HTTPS访问,接口的加密算法渗透,与逆向破解是必须要进行的,包括现在很多安卓端以及苹果端都在使用的一种加密算法,包含了AES,+RSA算法特殊加密。也就是说APP的通信加密可以做到多层,第一层是HTTPS,第二层就是AES加密算法的通信加密,利用秘钥将一些特殊的数据进行加密传输,防止被窃听,在进行渗透测试的时候也会对该加密算法进行破解与逆向,看是否可以拿到秘钥进行解密操作。

对APK,DEX文件进行安全验证渗透,测试包是否可以反编译,以及包中的数据以及配置文件是否可以被逆向破解查看到,有些客户APP被人反编译导致APP里植入木马后门重新打包放到网上让用户下载,导致很多人的手机中木马后门,甚至窃取用户的APP平台的账号密码,这里我们建议客户对APK,DEX包进行MD5,CRC32算法验证签名。

再一个渗透测试的内容是防动态注入,对APP进行动态的进程调用以及注入进行检测,测试是否可以利用数据包进行注入,篡改APP的数据,包括post数据等等,正常我们安全加固都会在APP里写入进程查看,检查是否有hook工具以及恶意软件的进行,如果有直接关闭APP,包括IP代理访问APP检测,如果有直接关闭软件。

接下来就是大部分APP嵌入网站代码的安全渗透测试,目前移动互联网的APP大部分都是采用的web方式进行的,也就说APP的渗透测试也包含了网站渗透测试,服务内容如下:

越权漏洞:检测APP平台里的功能是否存在越权操作,查看,编辑用户资料,等等的越权,比如普通用户可以使用管理员的权限去查看任意用户的资料,包括联系方式,手机号,银行卡等信息,越权修改其他账号的头像。

文件上传漏洞,检测APP头像上传,以及留言反馈等可以上传图片的功能里是否存在可以绕过文件格式漏洞,上传PHP,JAVA,JSP,WAR等脚本等木马文件到APP目录里。

短信盗刷漏洞:在用户的注册,找回密码,设置二级密码,修改银行卡等重要操作的时候获取手机短信验证码的功能里是否存在短信多次发送,重复发送,1分钟不限制发送次数的漏洞检测与渗透测试。

SQL注入漏洞:对APP的用户登录,充值页面,修改银行卡,提交留言反馈,商品购买,提现功能里可以将恶意的SQL注入代码植入到APP里,并发送到后端数据库服务器进行查询,写入,删除等SQL操作的渗透于检测。

敏感信息泄露漏洞:有些APP未对提交返回的内容进行加密,导致返回的数据中包含了用户的信息,账号,密码,都是明文显示,通过修改ID值可以任意的查看到其他会员的信息。

XSS跨站漏洞:有些APP意见反馈,头像上传地址功能里是否可以插入XSS跨站代码,导致后台管理员查看留言的时候可以触发XSS跨站攻击,导致后台的登录地址,COOKIS都被攻击者获取到。

弱口令漏洞,包括服务器的root账号密码,以及redis密码,网站后台管理员账号密码都可能存在弱密码,像123456.admin,admin8888等等都是属于弱口令,这方面也是需要进行渗透测试的。

以上就是APP渗透测试服务内容,大体上就是这些,我们SINE安全对对客户进行APP渗透测试的时候都会对以上项目进行安全测试,APP漏洞检测,帮助客户找到漏洞,避免后期发展较大而产生重大的经济损失,安全也不是绝对的,只能是尽全力把安全做到最大化,知彼知己百战不殆,只有真正的了解了自己的APP,以及存在的漏洞,才能把安全做好,做到极致,如果您的APP被黑客攻击不知该如何解决,可以找我们SINE安全做渗透测试服务,找到攻击漏洞源头,修复漏洞,对APP进行安全加固与防护,防止后期继续被攻击,将损失降到最低。

作者: websafe    /    文章:113篇

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关文章

  • 一个小白影视站长的成长推广经历

    视频网站及抖音快手推广,可以通过视频剪辑的方式上传一些视频,到酷6,土豆,优酷,抖音,快手,上传视频都印上网站的LOGO或导入公众号。通过这样的方式也会为网站带来不少流量。

  • 电商时代,企业搭建商城系统的优势有哪些

    通过网上商城,消费者足不出户,即可轻松享受从产品咨询、下单、付款到收货的一站式客户体验。为了增强电商平台的互动性,独立商城系统还可以提供在线咨询、电话咨询与网络留言三种互动途径,消费者可以自由选择适合自己的方式与专职客服人员进行交流,互动性得到了显著提高。

    标签:
    商城系统
  • 建站CMS系统:织梦dedeCms、PageAdmin、帝国优缺点比较

    之前一直使用dedeCms建站的,时间也算很长了,但是最近我们公司用dede做的网站被频繁被挂马,网上已经找不到解决方法,客户天天投诉,dedecms从原创团队解散后,几年了基本没有什么更新和维护,没有办法只能重新寻找新的cms改版。

  • 痛定思痛!Shopify大规模封店给我们跨境卖家的启示

    就在昨天中午,毫无预兆的情况下,我们的Shopify店铺无法打开了,只显示wewillcomingsoon的提示。随后我们在一个群里也发现很多人跟我们一样遭遇,同样是没收到邮件通知,也没有任何先兆。

    标签:
    自助建站系统
  • 为什么在建站时最好选择独立IP的服务器

    企业网站在建设时,有一部分站长会为了让网站做的更加出彩选择在服务器方面压缩成本,所以会拒绝使用独立服务器,转而选择一些较为经济的空间。这其实是一种错误的做法,服务器是网站运营的根本,即使在网站设计方面节约一些成本,也一定要选择一个好的服务器,否贼会给网站日后的运营带来很多麻烦,省下的成本也许会在日后

    标签:
    独立IP主机
  • 在进行网站建设时 如何选择合适的服务器

    随着互联网带给传统行业的冲击越来越大,有很多企业都不得不选择通过搭建网站来保证自身的收益,但网站的搭建也并不是一件简单的事情,如果网站不能给用户带来很好的体验,那么可能就无法为企业带来正面的效果,反而会白白浪费运营网站的成本。

  • 谈谈分销系统那些事

    分销系统是新兴事物,有些老板对于分销系统这个行业的知识了解比较少,就会造成在选择分销系统公司时,有一些考虑不周全的地方,可以说有不少老板做分销系统的历程可谓是千辛万苦,不知道什么时候就出现了超出自己想象的麻烦。

    标签:
    分销系统
  • 建站指南丨如何低成本建设自己的网站?

    说起SugarHosts,是欧洲的老牌主机商了,提供虚拟主机、VPS、云主机、域名等业务,其中香港、洛杉矶中美极速数据中心的虚拟主机,是非常适合国内用户使用,免备案即开即用,网络优化很好,网速快延迟也低。总体来看Pro方案,性价比极高,强烈推荐,免费赠送SSL证书、独立IP,大大提高了网站实用性,关

  • 企业官网在建设时需要注意的事项有哪些?

    企业的官网对一家企业来说非常重要,在互联网时代,官网就代表着一家企业在网上的门面和形象。大部分人现在在试图了解陌生的公司时,都会选择去官网一探究竟,所以如果企业网站的设计不成功的话很大可能会影响到企业的发展。那么,在企业官网建设时,需要注意哪些地方呢?

  • 网站安全维护经验 防止被黑客攻击的5个办法

    要定期修改管理员的账户和密码,而且密码的复杂程度要大小写字母加数字加特殊符号来设置,从而提高网站安全系数,这样才能避免网站不被攻击,如果对网站安全防护加固有需求的话可以去看看专业的网站安全公司来提供解决方案,像SINE安全,鹰盾安全,启明星辰,绿盟等等都是比较专业的安全公司。

榜单

热门排行

信息推荐

扫一扫关注最新创业资讯