APP滲透測試 深入挖掘漏洞以及如何防止攻擊

很多公司都有著自己的APP，包括安卓端以及ios端都有屬於自己的APP應用，隨著網際網路的快速發展，APP安全也影響著整個公司的業務發展，前段時間有客戶的APP被攻擊，資料被篡改，支付地址也被修改成攻擊者自己的，損失慘重，通過朋友介紹找到我們SINE安全做APP的安全防護，我們對客戶APP進行滲透測試，漏洞檢測，等全方位的安全檢測。通過近十年的APP安全維護經驗來總結一下，該如何做好APP的安全，防止被攻擊。

根據我們SINE安全的研究發現，國內大部分的APP應用都存在安全隱患，我們對其進行過安全測試，結果發現百分之40的APP使用的是http來進行資料的傳輸，包括使用者的登入賬戶與密碼，百分之22的使用者使用SSL證照來對資料進行加密傳輸，百分之80的APP應用都使用的明文在儲存手機上資料，百分之75的APP沒有進行安全加固，由此看來整個移動網際網路的APP應用都存在著安全風險，隨著移動5G的普及，萬物互聯的局勢將要到來，APP的安全起著重要的作用，速度再快，安全沒有保障，出現的使用者資訊洩露，以及資料篡改等情況的發生，對任何一家企業都是致命的。

如何對APP進行安全測試與安全加固？

我們SINE安全在這裡跟大家詳細的分享一下，希望能幫到更多APP應用企業。大部分APP都使用的是伺服器作為後端，那麼我們在APP安全加固的同時，也要做好伺服器的安全包括windows,linux系統的安全加固，對伺服器的埠進行安全設定，實行埠安全策略只允許APP端與伺服器進行通訊，拒絕任何外部的IP訪問與掃描，同時也要對伺服器的SSH，mstsc遠端登入做安全身份驗證，對伺服器做全面的滲透測試，符合資訊保安等級保護，與伺服器的遠端連線可以啟用IP安全策略，將IP單獨加入白名單，例如：阿里雲伺服器，可以在阿里雲控制檯，埠安全，單獨放行IP。

網站安全也叫web安全，很多APP都嵌入網站來使用一些介面呼叫，方便快捷的同時，也要對網站進行安全加固，包括網站的漏洞進行檢測，程式碼人工安全審計，網站木馬後門的檢測與清除，網站防篡改部署，網站日誌安全分析，定期的對網站進行安全巡檢等安全工作，自己對安全加固不是太懂的話也可以找專業的網站安全公司來處理，國內SINESAFE,綠盟，啟明星辰，都是比較不錯的，網站需要啟用https協議訪問，通過SSL證照來加密APP的資料傳輸。

APP的程式碼加密與混淆，APP在開發的同時一定要對程式碼進行混淆加密，對核心功能包括一些支付功能，都做程式碼的加密，對APP的每段程式碼進行人工安全審計，提前檢測出APP漏洞進行修復，防止攻擊者下載APK逆向進行程式碼的解密操作，對資料的傳輸做AES加密，混合多層次的加密與解密，防止通過資料抓包來篡改資料進行POST到API介面，達到篡改資料的目的，有些APP存在一些邏輯功能，都是通過APP資料抓包來實現的，有些APP開發者並沒有對一些許可權做嚴格的安全判斷與限制，導致可以繞過，直接執行其他賬戶的操作，像賬戶的密碼修改，資料修改等等。

對APP使用者登入做安全認證，增強APP介面的安全，增加身份安全驗證，包括人臉以及手機簡訊驗證碼，再結合手機裝置資訊來安全認證，防止惡意登入。在支付的介面做資料傳輸的雙向加密措施，支付閘道器與APP的伺服器IP做繫結，資料做SSL加密傳輸，AES加密。

很多公司的APP運營者都十分重視APP的安全問題，APP安全了，才能保障整個公司業務的安全，在APP開發階段應該對APP進行安全測試，包括APP安全滲透，滲透測試服務，APP的逆向破解保護，如果您的APP資料被篡改，使用者資訊被洩露，肯定是APP存在漏洞，找專業的滲透測試公司來幫您找到APP存在的漏洞，防止攻擊擴大化，將損失降到最低。國內比較專業的滲透測試公司，像SINE安全，啟明星辰，綠盟，深信服，都是比較專業的，APP安全要從多個方面去入手，伺服器安全，網站安全，APP程式碼，傳輸加密，介面安全等等方面去深入的安全加固，來增強公司安全團隊的安全應急快速響應的能力。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/31542418/viewspace-2668494/，如需轉載，請註明出處，否則將追究法律責任。