目前越来越多的app受到黑客攻击,包括数据库被篡改、app中的用户数据被泄露、手机号码、姓名、密码和数据被窃取,很多平台上的app的银行卡、充值渠道和聚合支付接口也被黑客修改,给app运营商造成了巨大的经济损失。他们中的许多人通过介绍老客户找到我们的SINE安全公司,寻求安全保护,防止攻击。根据我们在SINESAFE近十年的网络安全实践分析,大多数网站和应用都是因为网站代码漏洞和服务器系统漏洞,包括安装的服务器软件漏洞而受到攻击的。关于App渗透测试的内容以及如何防止App被攻击,我们总结一篇文章分享给大家,希望能帮助到更多有需要的人。
目前,2020年App安全的整体渗透率越来越得到业界的认可。很多客户在受到攻击后会首先想到寻找安全解决方案,寻求渗透测试公司、网站安全公司、网络安全公司帮助解决攻击问题。这是正常的安全需求。目前越来越多的客户按照这个思路来了。我们谈论分析应用程序安全性和渗透测试的专业术语。其实App漏洞检测分为两点。IOS系统目前是封闭的,比较安全。安卓安卓的安全性太差。大部分渗透测试都是基于安卓平台。App渗透测试的内容如下:
App接口的安全渗透也叫ApI接口渗透。HTTpS不仅是过去的一个大平台,被商城系统使用。更多的应用和网站使用HTTpS对SSL传输进行加密,包括在IOs 9.0版及以上版本中强制使用HTTpS访问。必须进行接口加密算法渗透和反向破解,包括目前很多安卓终端和苹果终端使用的一种加密算法,包括AES AES、RSA算法的特殊加密。也就是说App的通信加密可以是多层的,第一层是HTTpS,第二层是AES加密算法的通信加密,使用密钥对一些特殊数据进行加密传输,防止窃听。在渗透测试过程中,加密算法会被破解和反转,看能否解密。
对ApK和DEX文件进行安全验证穿透,测试包是否可以反编译,包中的数据和配置文件是否可以通过反向破解查看。部分客户的app被反编译,导致在app中植入木马后门,在互联网上重新打包供用户下载,导致很多人的手机都有木马后门,甚至盗取用户app平台的账号密码。在这里,我们建议客户使用MD5和CRC32算法对ApK和DEX包进行验证和签名。
另一个渗透测试是防止动态注入,测试App的动态进程调用和注入,测试是否可以使用数据包注入,篡改App数据,包括post数据等。正常情况下,我们会在App中写一个进程视图,检查是否有钩子工具和恶意软件。如果是App直接关机,包括Ip代理访问App检测,如果是软件直接关机。
下一步是对大多数嵌入网站代码的应用进行安全渗透测试。目前大部分移动互联网应用都是以web模式进行的,这意味着应用的渗透测试也包括网站渗透测试,服务内容如下:
越权漏洞:检测是否存在越权操作、查看编辑用户数据等。以App平台为例,普通用户可以利用管理员权限查看任何用户的数据,包括联系方式、手机号、银行卡等信息,也可以擅自修改其他账户的头像。
文件上传漏洞,检测App头像上传、消息反馈等可以上传图片的功能中是否存在可以绕过的文件格式漏洞,将pHp、JAVA、JSp、WAR等脚本的木马文件上传到App目录。
短信盗刷漏洞:用户注册、找回密码、设置二次密码、修改银行卡等获取手机短信验证码的功能是否存在漏洞检测和渗透测试。即短信是否多次发送、重复发送,发送次数没有限制
SQL注入漏洞:在App的用户登录、页面充值、银行卡修改、消息反馈提交、商品购买、提现等功能中,可以将恶意SQL注入代码植入App,发送到后端数据库服务器进行查询、写入、删除等SQL操作。
敏感信息泄露漏洞:部分应用对提交和返回的内容不加密,导致返回的数据包括用户信息、账号和密码,全部以明文显示,修改ID值即可随意查看其他成员的信息。
XSS跨站漏洞:部分App反馈,头像上传地址功能可插入XSS跨站代码,导致后台管理员查看消息时触发XSS跨站攻击,导致后台登录地址和COOKIS被攻击者获取。
弱密码漏洞,包括服务器的根帐户密码、redis密码、网站后台管理员的帐户密码,可能都有弱密码,如123456.admin、admin8888等。都属于弱口令,这也需要渗透测试。
以上是App渗透测试服务的内容,基本都是。我们为客户进行App渗透测试时,会进行安全测试和App漏洞检测,帮助客户发现漏洞,避免后期大开发造成重大经济损失。安全不是绝对的。我们只能尽力做到安全最大化,知己知彼。只有真正了解自己的App,以及存在的漏洞,才能做好安全工作,达到最终目的。如果你的app被黑了,我不知道怎么解决,我们可以找到我们的SINE安全渗透测试服务,找到攻击漏洞的来源,修复漏洞,对App进行安全加固和保护,防止后期App被攻击,把损失降到最低。