- 综合排序
- 最热优先
- 最新优先
- 来自专栏卓文见识
APP端测试系列(3)——客户端安全
可见学会APP测试是可以“发家致富”的,同时APP客户端安全也是整个APP安全测试中最为重要、测试项最多的: ? 在搭建drozer的过程中可能出现一些问题,搭建及使用可参考: https://www.jianshu.com/p/826439b24467 3、allowBackup安全 allowback 文件下的业务相关js等文件均是否经过混淆; 2)Logcat日志 使用adb工具查看应用程序操作日志,查看是否有敏感信息: adb logcat -b main -vtime>app.log 3)sdcard /com.package.name/databases/webview.db 2) 组件远程代码执行漏洞 webview组件包含3个隐藏的系统接口:searchBoxJavaBridge_,accessibilityTraversal 升级安全等风险,可举一反三进行归纳总结,后续带来app测试的一些典例汇总。
2.6K20发布于 2019-10-15 - 来自专栏tea9的博客
app安全检测
攻击方法: 对于恶意用户或者安全研究者,可以直接下载该app分析逆向分析,具体如下: 分析登录流程:v1是用户名,v2是密码,v3是PushId,在用户名和密码不为空并且长度不小于11情况下,执行LoginOperate /pid/status,查看第二个字段的值是否为T,当app处于调试状态,此值为T; 3、读取/proc/net/tcp,查看端口号是否存在0×5DBA字段,因为IDApro调试默认端口为23946,0 Static Analysis 静态分析作为逆向分析破解app最为常见手段,如果app没有经过任何安全保护,可以说通过静态分析可以分析任何你需要的东西,导致非常严重的危害。 代码: 通过xposed框架Hook微医用户版app,可以查看到不少进程已经注入到app中,对app的安全危害极大: 图片涉密 ps | busybox grep com.xx 通过cydia substrate \3. SSL 协议安全性。检测客户端使用的 SSL 版本号是否不小于 3.0(或 TLS v1),加密算 法是否安全。
3.8K10编辑于 2023-03-08 - 来自专栏游戏安全攻防
App安全测试
APP安全威胁 在App项目中都会碰到三座App安全大山。App客户端安全、数据传输安全、App服务端安全。下面以分析检测的思路进行对App安全威胁的这三座大山进行一些剖析梳理总结。 3、APP调用应用中自带键盘并随机打乱键盘顺序 (这种设置一般银行APP比较多 有 打乱数字和键盘按键的 还有在这个界面下禁止截图的) 一般认为低风险,就算被劫持,利用可能性也很低。 本地数据安全检测 App本地数据安全性问题需要关注的问题分别为:App所在目录的文件权限、SQLite数据库文件的安全性、敏感数据明文直接存储Sdcard。 App服务器安全 App服务端安全需要关注的是服务端API安全、业务逻辑安全、中间件安全、服务器应用安全。主要可以通过渗透测试的方式对App的服务器进行安全检测,通过模拟恶意攻击方式进行对服务器攻击。 从而提高App服务器的安全性。
3.9K31发布于 2021-09-02 - 来自专栏Android群英传
App安全二三事
为什么要安全 现在几乎所有App都是网络强相关的,客户端展示的很多东西都是通过接口从服务器上获取的,当然,服务器也会接收大量从客户端上传的数据,这两端在进行双向通信的时候,就很容易被第三方截获,导致数据被盗取 App的移动安全主要包括下面几种: 密钥破解,导致本地加密数据被盗取 通信密钥破解,导致接口数据被盗取 伪造接口数据上报 接口签名被破解,导致接口可以被重放攻击 那么归结起来,实际上就是这样几种模式: 成本最低,而且可以比较有效的扼杀一些在破解边缘徘徊的初级破解者,让他们能够悬崖勒马,浪子回头,然而,对于真正想要破解的人来说,混淆只等于加大了一点阅读难度而已,相信做开发的同学基本上也都反编译过别人家的App 这个加密的密钥串,就是我们身份的象征,一般来说,这个签名也就是通过前面我们千辛万苦要藏好的本地密钥来进行生成的,通常也就是那几个参数,例如时间戳、UserID、IMEI、Mac地址等等进行拼装,然后通过DES、3DES TCP加密 目前大部分的App都是通过Http来进行数据交互,但基于TCP,我们可以实现自己的通信协议,另外,利用TCP包的无序性来增加破解的难度,这样,利用TCP心跳来维持一个安全的通信通道,也是一个非常不错的方案
1.2K20发布于 2018-07-20 - 来自专栏游戏安全攻防
APP安全合规
背景介绍 APP安全合规的监管机构:APP违法违规收集使用个人信息治理工作组(APP治理小组)、工业和信息化部信息通讯管理局(工信部)、国家移动互联网应用安全管理中心(病毒中心)、地方通信局、地方网安 APP应用安全合规需要关注问题 在开发并上架APP项目时需要重点关注:程序自身保护安全、运行环境安全、身份认证安全、数据存储安全、内部组件安全、恶意攻击安全这六大问题。 ? APP如何做好基础防护? 为了让我们开发的APP能过安全合规检测,我们需要重点关注如下五点,让我们的APP更加安全。 ? APP安全合规建设的思考 安全开发人员:熟悉负责的产品功能、了解个人 信息采集、使用和展示定制个人隐私政策,并对组员以及APP开发团队进行安全合规的要求以及做法进行做宣传以及安全合规应用和监督把控。 软件开发人员:熟悉了解APP应用客户端安全合规所涉及的技术信息,避免出现安全漏洞。 QA:根据安全合规的标准进行做验证测试,严格把控APP安全质量,守好APP应用上架的最后一道防线。
2.9K21发布于 2021-06-10 - 来自专栏FreeBuf
APP安全检测手册
前言 随着运营商新技术新业务的发展,运营商层面对安全的要求有所变化,渗透测试工作将会面临内容安全、计费安全、业务逻辑及APP等方面的挑战。 随着运营商自主开发的移动APP越来越多,这些APP可能并不会通过应用市场审核及发布,其中的安全性将面临越来越多的挑战。 为有效的针对上述各种威胁进行有效防范,保障运营商和客户的业务安全,本手册将着重从下表所列项目针对APP应用(安卓)安全进行检测。 APP应用安全测试要点(安卓) 客户端安全 APK签名 进程和内存保护 内存访问和修改 反编译保护 动态注入 应用完整性校验 通信安全 通信加密 组件安全 证书有效性 敏感信息安全 数据文件 :长时间执行后台作业,常见于监控类应用; Content Provider:在多个APP间共享数据,比如通讯录数据; Broadcast Receiver:注册特定事件,并在其发生时被激活; 3.权限声明
5.7K42发布于 2020-05-26 - 来自专栏TechBox
iOS App 安全测试
一、数据存储安全 主要从以下几个方面考虑 Sandbox 数据存储 Keychain 数据存储 Console Log 数据 Keyboard 缓存 1. Sandbox 数据存储 (1) Sandbox 文件存储结构 SubDirectory Description AppName.app 存储 app 执行文件和静态资源文件,改文件夹为只读 Documents App的配置文件等,该文件夹的内容会被同步到backup文件中 Library Application support files Library/Preference App specific preferences to persist across successive launches of the application (2)Sandbox 文件导出和查看工具 iFunbox, iTools 等等 (3) /keychain_dumper (3)怎么测试 keychain中是否存储敏感信息,敏感信息是否加密 3.
8.5K40发布于 2018-06-05 - 来自专栏游戏安全攻防
APP应用安全检测
背景 目前APP发包上架的流程前,免不了需要对APP应用安全检测这个重要且必不可少的步骤流程,APP应用安全检测大部分采用采购第三方的APP安全检测产品(因为这块技术基础储备),也有部分企业基于开源的移动安全框架 (MobSF)进行二次开发APP安全检测产品(采购第三方产品费用太高),也有部分安全团队基于团队的技术储备进行基于逆向第三方APP安全检测产品进行开发自研的APP安全检测产品(采购第三方检测产品)。 3、Android中的四大内部组件分别为:activity、service、content provider、broadcast receiver,检测它们是否存在组件导出的风险,如果四大组件存在导出的风险 3、检测APP的xml文件中存储明文数据风险,如果xml文件中存储着一些重要敏感的明文数据,那么可以直接在app安装后用adb命令方式拷贝进行查验,或利用第三方的MT管理工具查看xml文件,这种明文存储的会导致敏感的配置信息 3、检测app是否存在可以直接动态注入风险,通过利用系统函数ptrace进程注入,如果可以直接注入的情况,那么这个app就存在注入风险,否则就没有这方面的风险。
4.2K30编辑于 2022-03-31 - 来自专栏QA一隅
App安全测试—Android安全测试规范
本地数据库注入/文件遍历检测 安全风险:获取或者篡改app中存储的敏感信息,如手机号、账号、密码等,在业务运行操作时无法保证数据安全。 WebView组件安全测试 WebView是Android系统提供能显示Web页面的系统控件,例如混合类型的App中H5界面就是使用了WebView组件。 TextUtils.isEmpty(v0.t)) { v1.putExtra("connected_usr", v0.t); } } this.sendBroadcast(v1); } 3、 数据的完整性进行校验 安全风险 App向服务器提交的数据易被中间人篡改,对用户数据的完整性造成影响,如用户信息被破解利用等问题。 键盘劫持测试 安全风险: 攻击者可以通过劫持键盘窃取用户输入数据,可能带来用户账号密码、敏感数据等泄露的风险,特别是银行金融类App。
6.3K42发布于 2021-08-09 - 来自专栏测试开发技术
APP 安全测试项总结
三、软键盘劫持 如果用户安装了第三方键盘,可能存在劫持情况,对此,我们在一些特别敏感的输入地方可以做检查,例如金融类APP登录界面的用户名密码输入框等,看是否支持第三方输入法,一般建议使用应用内的软键盘 3)对App的输入有效性校验、认证、授权、数据加密等方面进行检测 4)限制/允许使用手机功能接入互联网 5)限制/允许使用手机发送接收信息功能 6)限制或使用本地连接 7)限制/允许使用手机拍照或录音 3)密码、信用卡明细或其他的敏感数据将不被存储在它们预输入的位置上。 4)不同的应用程序的个人身份证或密码长度必须至少在4-8个数字长度之间。 3.通讯安全性 1)在运行软件过程中,如果有来电、SMS、蓝牙等通讯或充电时,是否能暂停程序,优先处理通信,并在处理完毕后能正常恢复软件,继续其原来的功能。 4.人机接口安全测试 1)返回菜单应总保持可用。 2)命令有优先权顺序。 3)声音的设置不影响使用程序的功能。
89710编辑于 2024-04-30 - 来自专栏Owen's World
APP接口安全设计要点
总结了一些APP接口安全设计的要点供大家参考,如有疏漏请在评论里面提醒补充! 3. IP、MAC地址限制,只允许某一个MAC地址、IP或IP段的客户端进行访问请求,只能一定程度上起到防范作用。 4. User-Agent和Referer限制,只能一定程度上起到防范作用。
2K20编辑于 2021-12-08 - 来自专栏安恒信息
E安全App 2.0越级版App Store正式上线
虽然网络与信息安全的从业者越来越多,线上、线下的活动也越来越多,但到目前为止,还没有一款真正面向信息安全专业学生、从业者、爱好者的手机APP软件。 E安全App今日迎来全新2.0越级版,让用户轻松“掌握”信息安全。E安全2.0越级版更新了全新界面。新的界面带来的新图标简单严谨,更加直观,增加了一些人性化的界面设置。 ,同时通过E安全App安全课程和安全课程栏目,用户也可以实现随时随地在线学习各类信息安全课程,为用户提供更为方便快捷信息安全资料查找的服务。 E安全APP官网:http://www.easyaq.com E安全APP下载: ? E安全App由中国信息安全测评中心和安恒信息联合开发。
1.6K60发布于 2018-04-11 - 来自专栏向治洪
安全退出app,activoty栈管理
如果一个交互流程中,是从A开始,按照A - B - C - D - A这样的顺序进行的话,那么B,C,D这3个活动界面会根据你D中最后的操作来进行保留或是摧毁,例如 (1)注册流程中,在A界面点击注册 以上几个例子都涉及到了 --- 如何安全退出多个ACTIVITY 这个问题。 知识结构 首先,通过大致的思维导图罗列出了以下几个知识点,来帮助你去分析学习: 1.Activity的启动模式 2.intent: Flags属性,以及其显、隐式 3.Application .栈的引申的知识点:(1)ArrayList和LinkedList的区别 (2)android 栈和队列 以上的 (1)Activity的启动模式 (2)intent: Flags属性 (3) ); } }); 优缺点: 方案6(不推荐) 方法:方法有人说可以使用抛出异常来退出,可是这样会影响到用户体验,所以不推荐 总结 以上便是我从注册流程分析如何安全退出多个
1.2K100发布于 2018-01-30 - 来自专栏测试一般不一般
Android之APP安全测试篇
3、证书与签名的查看 利用工具(apktool) ? 注:jre默认安装apktool,只需要在当前目录执行CMD就可以调用运行 首先要把apk的后缀名改为rar 解压找到rsa后缀的文件 ? 2、验证所对应的目标Activity是否恶意App,规避受到intent欺骗,可用hash签名作为验证。 3、签名验证其内部(in-house)App。 android:exported Service组件的设置错误可以被第三方APP任意调用,导致敏感信息泄露,并可能受到权限提升、拒绝服务等安全风险 Content provider组件 反编译 当Content Provider组件可以被第三方app任意调用时,会导致敏感信息泄露,并可能受到目录遍历、SQL注入等攻击等安全风险。 0x02:测试框架 推荐一个:移动安全漏洞测试框架(MobSF)是一种自动化的多合一移动应用程序(安卓/苹果/PC端)可以进行静态和动态分析的安全测试,恶意软件分析和安全评估框架。
1.8K31发布于 2019-11-12 - 来自专栏洛米唯熊
Android之APP安全测试篇
3、证书与签名的查看 利用工具(apktool) ? 注:jre默认安装apktool,只需要在当前目录执行CMD就可以调用运行 首先要把apk的后缀名改为rar 解压找到rsa后缀的文件 ? 2、验证所对应的目标Activity是否恶意App,规避受到intent欺骗,可用hash签名作为验证。 3、签名验证其内部(in-house)App。 android:exported Service组件的设置错误可以被第三方APP任意调用,导致敏感信息泄露,并可能受到权限提升、拒绝服务等安全风险 Content provider组件 反编译 当Content Provider组件可以被第三方app任意调用时,会导致敏感信息泄露,并可能受到目录遍历、SQL注入等攻击等安全风险。 0x02:测试框架 推荐一个:移动安全漏洞测试框架(MobSF)是一种自动化的多合一移动应用程序(安卓/苹果/PC端)可以进行静态和动态分析的安全测试,恶意软件分析和安全评估框架。
1.7K10发布于 2019-11-11 - 来自专栏测试人生
APP安全测试点概述
IOS:没有类似manifest文件来查看,IOS的用户权限只有在用户使用APP到了需要使用的权限时,系统才会弹出提示框,提示用户当前APP需要访问照片、联系人列表等组件。 3)对App的输入有效性校验、认证、授权、数据加密等方面进行检测 4)限制/允许使用手机功能接入互联网 5)限制/允许使用手机发送接收信息功能 6)限制或使用本地连接 7)限制/允许使用手机拍照或录音 3)密码、信用卡明细或其他的敏感数据将不被存储在它们预输入的位置上。 4)不同的应用程序的个人身份证或密码长度必须至少在4-8个数字长度之间。 3.通讯安全性 1)在运行软件过程中,如果有来电、SMS、蓝牙等通讯或充电时,是否能暂停程序,优先处理通信,并在处理完毕后能正常恢复软件,继续其原来的功能。 4.人机接口安全测试 1)返回菜单应总保持可用。 2)命令有优先权顺序。 3)声音的设置不影响使用程序的功能。 4)应用程序必须能够处理不可预知的用户操作,例如错误的操作和同时按下多个键。
1.8K21发布于 2020-02-12 - 来自专栏FreeBuf
APP安全分析之打车软件
今天我们来分析一下他的安全性到底如何。 经过严密的分析发现:该打车APP(司机版)主要的防护在两个地方 第一个是:登录过程中,通过传递context对象到so库中的方式去拿到apk的签名信息的md5签名信息上传。 迫使点击确定的方式退出app。 首先我们来说第一个校验:本身使用so作为获取签名信息的地方相应的比在java中获取签名信息的方式要安全。但是so获取签名信息必须给底层传递context对象。 如果是盗版会弹出提示:“请卸载该软件后再使用”,这种防护更没有安全性可言了。我们只需要把这行代码注释或者删除掉。这个校验就没有任何的作用了。
1.4K90发布于 2018-02-05 - 来自专栏tea9的博客
app安全检测指南学习笔记
客户端程序安全 安装包签名 反编译保护 判断是否能反编译为源代码,是否存在代码保护 是否能通过用反编译工具查看源代码 建议客户端进行加壳处理防止攻击者反编译客户端,同时混淆客户端代码,并且一定要对核心代码进行代码混淆 应用完整性校验 组件安全 - 组件安全测试工具 webview - web安全 敏感信息安全 数据文件 Logcat日志 密码安全 键盘劫持 随机布局软键盘 屏幕录像 手势密码 安全策略 密码复杂度检测 账号登录限制 账户锁定策略 问题验证 - 密保问题 会话安全 界面切换保护 - 防止钓鱼界面 activity劫持 UI信息泄露 验证码安全 PKAVHttpFuzzer 安全退出 - 退出时是否正常终止会话 密码修改验证 - 验证旧密码 Activity界面劫持 - activity 界面劫持工具 进程保护 内存访问和修改 - MemSpector 动态注入 - hook 通信安全 通信加密 证书有效性 关键数据加密和校验 访问控制 客户端更新安全性 短信重放攻击 业务安全 越权操作 交易篡改 重放攻击 用户枚举 暴力破解 注入/XSS/CSRF pdf 链接: 提取码: dwnc
1K20编辑于 2022-07-16 - 来自专栏程序语言交流
Android APP安全处理那些事
前言 公司的项目有安全合规方面的需求,上线前要经过安全架构师进行安全测试,安全测试通过才能上线,目前 APP 项目中涉及到的点整理如下 技术方面 打包签名 APP里面的基本操作,使用打包服务器上的签名, 防内存dump保护 防内存数据读取 使用腾讯云的"移动应用安全" -> "应用加固" 免费版基础加固内容包含 APP安全所有功能加固使用对应的付费即可 腾讯云:https://console.cloud.tencent.com 更新升级使用工作空间里的更新策略 APP 不走应用商店发布 APP中实现的强制更新和热更新功能弃用 业务方面 首次打开强制登录 登录后再次激活APP后,要输入用户手势 密码复杂度要高,长度8位以上,必须包含大小写字母 (安全软件/寻踪管家)安全策略 不支持用户使用 USB 调试及文件传输功能,USB线只能充电 不支持用户自定义手机权限 不支持用户访问手机文件系统,浏览器等常规功能 定制版的手机只支持访问当前用户的工作空间里面的工作 ,在公司的业务IT那边,关于工作空间的测试,只能拿着手机去隔壁楼的IT那边刷机,开发再运行开发模式测试, 也导致了线上问题复现排查困难增大 目前项目中的涉及到的安全策略就这些,欢迎补充 ^-^
99030编辑于 2022-07-29 - 来自专栏渗透云笔记
Android APP安全防护总结
https://www.jianshu.com/p/e9d3c57ab92f? utm_campaign=haruki&utm_content=note&utm_medium=reader_share&utm_source=qq Android 代码混淆 混淆方案 3. 签名校验 检查APP中自己写入的私钥hash值与当前签名中的私钥hash值是否相一致。一致则说明APP没有被改动,允许APP运行;不一致则说明APP被二次打包,APP就自我销毁进程。 (比如我爱我家APP被挂博彩),我觉得这个很有必要,不仅仅是因为安全,包括微信公众号,googleplay 都在强制要求开发者必须使用HTTPS。 自定义键盘 关于这一点,其实笔者不知道此做法对安全性有多大作用,我也特意去下载了一些热门应用做调查,发现还是比较多APP应用使用手机自带的或默认的键盘,所以笔者不清楚其危害性有多大,个人觉得可有可无。
1.8K20发布于 2020-02-17
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号