zzR · 2013/11/26 16:27
0x00 背景
隨著移動互聯的擴張,移動APP承載了更多企業的終端夢。“使用者手機安裝APP以後,企業即埋下一顆種子,可持續與使用者保持聯絡。” 種子是種下了,可要是它本身就是個[特洛伊木馬]呢?試想你在某某知名APP平臺下載安裝一款知名APP,深更半夜突然響起了[THE PHANTOM OF THE OPERA]那會是怎樣的一種情景!
通過這近一個月來的觀察和實驗,斗膽在這裡簡單介紹一下手機移動APP安全測試方法、工具和一些容易產生安全問題的點。(此處僅就IOS版本APP進行說明)
0x01 細節
1.工具:PC、手機;軟體:burpsuite/fiddler、sqlmap等
2.代理設定:首先將你的PC和手機置於同一區域網,在PC上開啟burpsuite ,proxy選項proxy-listeners
new/edit一下吧
在下拉選單中能夠找到PC本機IP,同時可以自定義埠,此處設定了8088。
手機端,連線WIFI後,網路屬性設定代理,寫上上圖IP地址和埠號
此時您的PC端burpsuite就設定完成。
3.接下來就是找到你感興趣的APP對他們進行友情測試了。測試過程中,有幾個安全點我在之前提交的報告中也都提到了,WEB端存在的問題在移動端同樣存在(小夥伴們可針對OWASP TOP 10有針對性進行測試,其他此處不盡詳表),只是現在WEB前端重兵把守,兵強馬壯,而移動端尚未得到足夠的重視,相對薄弱,應者那句世界名言,我們何不找找小道前行?
說的這裡,提幾個比較具有代表性(易發現易批量應用,對隱私資料影響大)的安全關注點:
由於缺乏對移動端安全防護,並且未對APP客戶端使用者資料做過濾導致SQL隱碼攻擊等一系列問題(跨站/CSRF什麼的那就不說了)
模糊的使用者權鑑往往造成各式各樣的越權操作,使用者隱私資料得不到安全保障;不安全的資料傳輸過程,敏感資料篡改(登陸、支付)
WooYun: 中糧我買網APP越權操作缺陷04(刪除/修改任意使用者資訊)
應用設計存在邏輯缺陷導致的跨界
WooYun: 百度某應用設計缺陷可直接瀏覽企業內部關鍵系統甚至滲透
移動雲端系統載體自身存在缺陷,導致伺服器淪陷。如app雲端存在遠端命令執行漏洞、任意檔案上傳getshell等
移動安全平臺、推廣平臺存在安全缺陷導致海量APP可被操縱,惡意APP侵害移動使用者。
WooYun: 樂視網某主站站控制不嚴可傳播惡意app感染手機端
WooYun: 聯想1#某站許可權控制不嚴導致預裝惡意App流毒
以上方法針對少量APP測試還是挺實用的,這個月測試下來,就如一位皁友所說,發現這些問題是比較繁瑣,但是出現的問題概率比較大。所以問題還是挺好找[email protected] 給俺一個非常不錯的建議用於批量檢測:在本地搭建http代理記錄APP訪問日誌,然後sqlmap批量掃這些去重的日誌!很贊!
0x02 總結
各廠商在APP程式開發的過程中嚴格執行開發安全處置流程同時將WEB應用防線擴至移動端!
各APP應用、推廣平臺加強自身安全防範,升級安全基線,確保平臺之安全可靠,要知道,你們可承載著萬千網際網路企業的中國夢-0-
最後,各大廠商、平臺抱好你們的APP了,皁友們要來啦!