[原創]淺談移動App安全測試
移動網際網路很火,就像當年網際網路興起一樣,這幾天和朋友在溝通交流,談到一個話題,你們做金融App錢放在你們哪邊安全不?會不會你們做的移動App不安全,讓人盜了裡面的資金,我想了想,然後說這個你估計不瞭解,我們資金肯定是安全的,前段時間我剛好對App做過一些安全測試,才有信心說這個話,所以今天打算總結下前段時間的成果,算是有個交待。
移動App安全測試與傳統軟體或是Web安全測試還是有一定區別,必竟偏移動平臺,主要是IOS和Android兩個大的平臺,當然做為移動金融App最重要的是什麼?對安全來講,我想主要還是資料,確切的講是錢,所以核心App安全測試圍繞這個展開;所以我們通過前期的討論對App安全的檢查點,我們重點關注的應用層,針對像傳統談級的主機安全,網路安全,物理層安全不在本次討論中,所以我也針對這個需求劃分了幾個大的維度,具體如下:
程式碼安全(防程式注入檢查/防逆向分析/完整性檢查等)
本地資料安全(敏感資料是否加密/許可權設定/敏感資料儲存)
資料傳輸方法和實現(是否http明文通訊/使用https是否繫結證書/金鑰管理等)
交易安全(是否有資訊洩漏/是否存在許可權驗證/資訊提示完整性)
伺服器安全()
二 移動App安全測試工具,如下
apktool
jeb
drozer
burp
fiddler
adb
。。。等