移动安全app渗透测试之渗透流程、方案及测试要点讲解

这篇具有很好参考价值的文章主要介绍了移动安全app渗透测试之渗透流程、方案及测试要点讲解。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

被产品经理分到了个app测试的活,(话说为啥是产品经理给派活,我不是归技术总监管么),包含安卓端的和ios端的,有点懵逼,说好的web渗透测试和服务器端渗透测试呢,虽然懵逼,不过凭借我强大的自学能力,有了下面这篇文章,工欲善其事,必先利其器。先整理好思路,渗透起来才能顺利不迷茫。

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具

安全威胁分析:

app渗透测试,来源的威胁不外乎三方面:

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具

其实web端好像也是这三方面哈。

面临的主要风险 :

客户端:

  • 反编译
  • 调试
  • 加密/签名破解
  • 输入记录
  • 导出组件
  • 进程注入
  • ...

数据传输:

  • 信息泄露
  • 传输数据篡改
  • 重放攻击

服务端:

  • 心血
  • ST2
  • 注入
  • 跨站
  • 越权执行
  • 上传下载
  • 弱口令

APP安全测试内容 :

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具

以及服务器和业务逻辑安全

安全测试流程:

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具

 移动APP安全测试要点

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具

安全检测要点:

Allowbackup漏洞

AndroidManifest.xml文件中allowBackup属性值被设置为true。当allowBackup标志为true时,用户可通过adb backup来进行对应用数据的备份,在无root的情况下可以导出应用中存储的所有数据,造成用户数据的严重泄露。

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具

修复建议:

将参数android:allowBackup属性设置为false,不能对应用数据备份。

WebView漏洞

应用中存在WebView漏洞,没有对注册JAVA类的方法调用进行限制,导致攻击者可以利用反射机制调用未注册的其他任何JAVA类,最终导致javascript代码对设备进行任意攻击。

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具

修复建议:

通过在Java的远程方法上面声明一个@JavascriptInterface 来代替addjavascriptInterface;

在使用js2java的bridge时候,需要对每个传入的参数进行验证,屏蔽攻击代码;

Note :控制相关权限或者尽可能不要使用js2java 的bridge 。

关键数据明文传输

应用程序在登录过程中,使用http协议明文传输用户名和密码,并未对用户名和密码进行加密处理。通过监控网络数据就可以截获到用户名和用户密码数据,导致用户信息泄露,给用户带来安全风险。

修复建议:

在传输敏感信息时应对敏感信息进行加密处理。

任意账号注册

使用手机号177*****706注册某个APP,获取验证码38091;

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具

 在确认提交时,拦截请求,修改注册的手机号码,即可注册任意账号,这里修改为1338*****678(任意手机号);

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具

分别使用177*****706和133*****678(任意手机号)登录,均可以通过验证登录,看到最终结果。

修复建议:

注册过程最后的确认提交时,服务器应验证提交的账号是否是下发验证码的手机号。

登录界面可被钓鱼劫持

应用存在钓鱼劫持风险。应用程序没有做防钓鱼劫持措施,通过劫持应用程序的登录界面,可以获取用户的账号和密码,可能导致用户账号信息的泄露。

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具

修复建议:

应用程序自身通过获取栈顶activity,判断系统当前运行的程序,一旦发现应用切换(可能被劫持),给予用户提示以防范钓鱼程序的欺诈。

获取栈顶activity(如下图),当涉及敏感activity(登录、交易等)切换时,判断当前是否仍留在原程序,若不是则通过Toast给予用户提示。

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具

使用HTML5架构或android+HTML5混合开发,实现登陆、支付等关键页面,降低被劫持的风险。

移动APP典型安全漏洞

在对移动APP的渗透测试工作中个,博主总结了几个常见的移动APP安全漏洞,包括图形验证码逻辑后门、用户敏感信息泄露、开发商被渗透,各位APP开发工程师,需要注意一下。

图形验证码逻辑后门

案例概述

A公司是一个已经上市的信息科技公司,国内多家商业银行都是其客户。在分析A公司的移动银行产品时,发现产品的图形验证码机制存在逻辑后门可以被绕过,利用这个缺陷可以窃取大量用户账号。由于外包团队的代码复用,我们已经在至少两家商业银行的移动银行系统中复现了这个安全问题。

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具

后果:大规模账号暴力破解攻击。

一般来说,大部分用户都习惯将移动银行密码设置为六位数字,而且查询密码和交易密码也有很大的概率设置为相同的。攻击者可以查找该地区的手机号码段范围作为登录用户名,以六位数字组成的密码字典进行暴力破解,几十万移动银行帐户信息唾手可得。

用户敏感信息泄露

案例概述

B公司也是一家上市的科技公司,其金融客户遍布全国,采用B公司移动银行方案的客户包 括至少两家全国性股份制商业银行和多家城市商业银行。在分析B公司的移动银行产品安全性时,发现没有关闭服务端的调试接口,造成大量的用户敏感信息泄露。这种问题其实也比较常见,往往是外包开发完成后上线过程的疏忽造成的,实际上更常见的例子是Android客户端通过logcat输出调试信息的问题。

调试接口会将用户转账的详细信息输出到 web 目录的 test.log 文件中。攻击者可以通过浏览器直接访问到这个 log 文件,该系统的每一笔转账交易都记录在其中,从中可以获取大量的用户账号、手机号、卡号和交易密码等信息。

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具

开发商被渗透

案例概述

国内某漏洞平台曾经曝光过这样一个漏洞:某大型银行的移动银行ios客户端中存在一个txt文件,文件中存储了一个svn服务器的ip地址、用户名和密码,黑客解压出该文件获取信息后可以直接连上并checkout服务器上的文件。

svn 服务器上存储的内容包括该银行移动银行系统的全部项目文档、完整的 Android 和 IOS 客户端代码,甚至还存放了用于客户端签名的数字证书。

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具

 本文在通过互联网其它文章学习之后归纳整理,供工作时参考。具体的渗透工具教程,下次再更。


最后,绵薄之力

感谢每一个认真阅读我文章的人,虽然不是什么很值钱的东西,如果你用得到的话可以直接拿走:

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具

 这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!

资料获取方式:

移动端渗透,软件测试,自动化测试,压力测试,单元测试,测试工具文章来源地址https://www.toymoban.com/news/detail-569767.html

到了这里,关于移动安全app渗透测试之渗透流程、方案及测试要点讲解的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 移动App安全检测的重要性,好用的App安全测试工具分享

    一、移动App安全检测的重要性 在移动互联网时代,移动App成为人们生活不可或缺的一部分,人们使用App处理各种个人和敏感信息,因此保护用户的隐私和数据安全至关重要。而移动App安全检测是保障用户隐私和数据安全的重要环节。通过安全检测,可以发现和修复应用程序中

    2024年02月16日
    浏览(57)
  • 【渗透测试基础】越权攻击讲解

    越权,是攻击者在获得低权限账号后,利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能。在实际的代码安全审查中,这类漏洞很难通过工具进行自动化检测,因此危害很大。越权有两种类型: 垂直越权,是一种“基于URL的访问控制”设计缺陷引起的漏

    2024年02月05日
    浏览(46)
  • Web安全渗透与移动安全逆向有什么区别?发展前景如何?

    随着网络安全行业的飞速发展,现已在数字化、网络化、智能化的趋势下,从传统网络安全领域延伸到了云、大数据、物联网、工业控制、5G和移动互联网等不同的应用场景,导致大批量的人群都纷纷想加入网络行业。但由于网络安全行业的细分方向有很多,不知道如何选择

    2024年02月03日
    浏览(44)
  • 密码暴力破解、渗透测试流程

    信息收集 1、扫描的价值 对攻击者来说:根据扫描结果,来决定进一步的攻击行动; 能够更有针对性地选择攻击方法、攻击工具,节省攻击时间 对防护者来说:根据扫描结果,判断应采取什么样的安全策略; 封堵漏洞、加固系统、完善访问控制 2、nmap Network Mapper,一款开源

    2024年02月08日
    浏览(49)
  • WEB渗透测试流程

           首先学渗透成为网安的第一步是熟读《中华人民共和国网络安全法》和《中华人民共和国刑法》的相关法律法规。        什么是渗透测试,渗透测试并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评

    2024年02月04日
    浏览(35)
  • 渗透测试及流程

    渗透测试是一种安全测试,用于测试应用程序的不安全性。进行它以发现系统中可能存在的安全风险。 如果系统不安全,那么任何攻击者都可以破坏或获得对该系统的授权访问。安全风险通常是在开发和实施软件时发生的意外错误。例如,配置错误、设计错误和软件错误等。

    2024年02月13日
    浏览(38)
  • 渗透测试流程

    目录 前言: 渗透测试流程 1、先了解下渗透测试与入侵的最大区别 2、一般渗透测试流程 前言: 在软件开发中,渗透测试是一种非常重要的安全测试方法,它可以帮助我们更加全面地检测软件中的安全漏洞和风险。  渗透测试流程 1、先了解下渗透测试与入侵的最大区别 渗

    2024年02月15日
    浏览(33)
  • 渗透测试 | APP信息收集

    0x00 免责声明         本文仅限于学习讨论与技术知识的分享,不得违反当地国家的法律法规。对于传播、利用文章中提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本文作者不为此承担任何责任,一旦造成后果请自行承担!            

    2024年01月17日
    浏览(46)
  • 2022-渗透测试-OWASP TOP10详细讲解

    2024年02月14日
    浏览(48)
  • web测试要点(功能测试、性能测试、用户界面测试、兼容性测试、安全测试、接口测试)

    Web测试主要包括6个方面的测试:1、功能测试;2、性能测试;3、用户界面测试;4、兼容性测试;5、安全测试;6、接口测试。通过Web测试可以尽可能地多发现浏览器端和服务器端程序中的错误并及时加以修正,以保证应用的质量。 Web功能测试包含七类测试: 1-1链接测试 链接

    2024年02月08日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包