久久久久国产精品www,综合久久无码,亚洲精品99久久久久中文字幕,无码伊人网Apdm

目前越來(lái)越多的app受到黑客攻擊，包括數(shù)據(jù)庫(kù)被篡改、app中的用戶數(shù)據(jù)被泄露、手機(jī)號(hào)碼、姓名、密碼和數(shù)據(jù)被竊取，很多平臺(tái)上的app的銀行卡、充值渠道和聚合支付接口也被黑客修改，給app運(yùn)營(yíng)商造成了巨大的經(jīng)濟(jì)損失。他們中的許多人通過(guò)介紹老客戶找到我們的SINE安全公司，尋求安全保護(hù)，防止攻擊。根據(jù)我們?cè)赟INESAFE近十年的網(wǎng)絡(luò)安全實(shí)踐分析，大多數(shù)網(wǎng)站和應(yīng)用都是因?yàn)榫W(wǎng)站代碼漏洞和服務(wù)器系統(tǒng)漏洞，包括安裝的服務(wù)器軟件漏洞而受到攻擊的。關(guān)于App滲透測(cè)試的內(nèi)容以及如何防止App被攻擊，我們總結(jié)一篇文章分享給大家，希望能幫助到更多有需要的人。

目前，2020年App安全的整體滲透率越來(lái)越得到業(yè)界的認(rèn)可。很多客戶在受到攻擊后會(huì)首先想到尋找安全解決方案，尋求滲透測(cè)試公司、網(wǎng)站安全公司、網(wǎng)絡(luò)安全公司幫助解決攻擊問(wèn)題。這是正常的安全需求。目前越來(lái)越多的客戶按照這個(gè)思路來(lái)了。我們談?wù)摲治鰬?yīng)用程序安全性和滲透測(cè)試的專業(yè)術(shù)語(yǔ)。其實(shí)App漏洞檢測(cè)分為兩點(diǎn)。IOS系統(tǒng)目前是封閉的，比較安全。安卓安卓的安全性太差。大部分滲透測(cè)試都是基于安卓平臺(tái)。App滲透測(cè)試的內(nèi)容如下：

App接口的安全滲透也叫ApI接口滲透。HTTpS不僅是過(guò)去的一個(gè)大平臺(tái)，被商城系統(tǒng)使用。更多的應(yīng)用和網(wǎng)站使用HTTpS對(duì)SSL傳輸進(jìn)行加密，包括在IOs 9.0版及以上版本中強(qiáng)制使用HTTpS訪問(wèn)。必須進(jìn)行接口加密算法滲透和反向破解，包括目前很多安卓終端和蘋(píng)果終端使用的一種加密算法，包括AES AES、RSA算法的特殊加密。也就是說(shuō)App的通信加密可以是多層的，第一層是HTTpS，第二層是AES加密算法的通信加密，使用密鑰對(duì)一些特殊數(shù)據(jù)進(jìn)行加密傳輸，防止竊聽(tīng)。在滲透測(cè)試過(guò)程中，加密算法會(huì)被破解和反轉(zhuǎn)，看能否解密。

對(duì)ApK和DEX文件進(jìn)行安全驗(yàn)證穿透，測(cè)試包是否可以反編譯，包中的數(shù)據(jù)和配置文件是否可以通過(guò)反向破解查看。部分客戶的app被反編譯，導(dǎo)致在app中植入木馬后門(mén)，在互聯(lián)網(wǎng)上重新打包供用戶下載，導(dǎo)致很多人的手機(jī)都有木馬后門(mén)，甚至盜取用戶app平臺(tái)的賬號(hào)密碼。在這里，我們建議客戶使用MD5和CRC32算法對(duì)ApK和DEX包進(jìn)行驗(yàn)證和簽名。

另一個(gè)滲透測(cè)試是防止動(dòng)態(tài)注入，測(cè)試App的動(dòng)態(tài)進(jìn)程調(diào)用和注入，測(cè)試是否可以使用數(shù)據(jù)包注入，篡改App數(shù)據(jù)，包括post數(shù)據(jù)等。正常情況下，我們會(huì)在App中寫(xiě)一個(gè)進(jìn)程視圖，檢查是否有鉤子工具和惡意軟件。如果是App直接關(guān)機(jī)，包括Ip代理訪問(wèn)App檢測(cè)，如果是軟件直接關(guān)機(jī)。

下一步是對(duì)大多數(shù)嵌入網(wǎng)站代碼的應(yīng)用進(jìn)行安全滲透測(cè)試。目前大部分移動(dòng)互聯(lián)網(wǎng)應(yīng)用都是以web模式進(jìn)行的，這意味著應(yīng)用的滲透測(cè)試也包括網(wǎng)站滲透測(cè)試，服務(wù)內(nèi)容如下：

越權(quán)漏洞：檢測(cè)是否存在越權(quán)操作、查看編輯用戶數(shù)據(jù)等。以App平臺(tái)為例，普通用戶可以利用管理員權(quán)限查看任何用戶的數(shù)據(jù)，包括聯(lián)系方式、手機(jī)號(hào)、銀行卡等信息，也可以擅自修改其他賬戶的頭像。

文件上傳漏洞，檢測(cè)App頭像上傳、消息反饋等可以上傳圖片的功能中是否存在可以繞過(guò)的文件格式漏洞，將pHp、JAVA、JSp、WAR等腳本的木馬文件上傳到App目錄。

短信盜刷漏洞：用戶注冊(cè)、找回密碼、設(shè)置二次密碼、修改銀行卡等獲取手機(jī)短信驗(yàn)證碼的功能是否存在漏洞檢測(cè)和滲透測(cè)試。即短信是否多次發(fā)送、重復(fù)發(fā)送，發(fā)送次數(shù)沒(méi)有限制

SQL注入漏洞：在App的用戶登錄、頁(yè)面充值、銀行卡修改、消息反饋提交、商品購(gòu)買(mǎi)、提現(xiàn)等功能中，可以將惡意SQL注入代碼植入App，發(fā)送到后端數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行查詢、寫(xiě)入、刪除等SQL操作。

敏感信息泄露漏洞：部分應(yīng)用對(duì)提交和返回的內(nèi)容不加密，導(dǎo)致返回的數(shù)據(jù)包括用戶信息、賬號(hào)和密碼，全部以明文顯示，修改ID值即可隨意查看其他成員的信息。

XSS跨站漏洞：部分App反饋，頭像上傳地址功能可插入XSS跨站代碼，導(dǎo)致后臺(tái)管理員查看消息時(shí)觸發(fā)XSS跨站攻擊，導(dǎo)致后臺(tái)登錄地址和COOKIS被攻擊者獲取。

弱密碼漏洞，包括服務(wù)器的根帳戶密碼、redis密碼、網(wǎng)站后臺(tái)管理員的帳戶密碼，可能都有弱密碼，如123456.admin、admin8888等。都屬于弱口令，這也需要滲透測(cè)試。

以上是App滲透測(cè)試服務(wù)的內(nèi)容，基本都是。我們?yōu)榭蛻暨M(jìn)行App滲透測(cè)試時(shí)，會(huì)進(jìn)行安全測(cè)試和App漏洞檢測(cè)，幫助客戶發(fā)現(xiàn)漏洞，避免后期大開(kāi)發(fā)造成重大經(jīng)濟(jì)損失。安全不是絕對(duì)的。我們只能盡力做到安全最大化，知己知彼。只有真正了解自己的App，以及存在的漏洞，才能做好安全工作，達(dá)到最終目的。如果你的app被黑了，我不知道怎么解決，我們可以找到我們的SINE安全滲透測(cè)試服務(wù)，找到攻擊漏洞的來(lái)源，修復(fù)漏洞，對(duì)App進(jìn)行安全加固和保護(hù)，防止后期App被攻擊，把損失降到最低。