APP滲透測試 深入挖掘漏洞以及如何防止攻擊
很多公司都有著自己的APP,包括安卓端以及ios端都有屬於自己的APP應用,隨著網際網路的快速發展,APP安全也影響著整個公司的業務發展,前段時間有客戶的APP被攻擊,資料被篡改,支付地址也被修改成攻擊者自己的,損失慘重,通過朋友介紹找到我們SINE安全做APP的安全防護,我們對客戶APP進行滲透測試,漏洞檢測,等全方位的安全檢測。通過近十年的APP安全維護經驗來總結一下,該如何做好APP的安全,防止被攻擊。
根據我們SINE安全的研究發現,國內大部分的APP應用都存在安全隱患,我們對其進行過安全測試,結果發現百分之40的APP使用的是http來進行資料的傳輸,包括使用者的登入賬戶與密碼,百分之22的使用者使用SSL證照來對資料進行加密傳輸,百分之80的APP應用都使用的明文在儲存手機上資料,百分之75的APP沒有進行安全加固,由此看來整個移動網際網路的APP應用都存在著安全風險,隨著移動5G的普及,萬物互聯的局勢將要到來,APP的安全起著重要的作用,速度再快,安全沒有保障,出現的使用者資訊洩露,以及資料篡改等情況的發生,對任何一家企業都是致命的。
如何對APP進行安全測試與安全加固?
我們SINE安全在這裡跟大家詳細的分享一下,希望能幫到更多APP應用企業。大部分APP都使用的是伺服器作為後端,那麼我們在APP安全加固的同時,也要做好伺服器的安全包括windows,linux系統的安全加固,對伺服器的埠進行安全設定,實行埠安全策略只允許APP端與伺服器進行通訊,拒絕任何外部的IP訪問與掃描,同時也要對伺服器的SSH,mstsc遠端登入做安全身份驗證,對伺服器做全面的滲透測試,符合資訊保安等級保護,與伺服器的遠端連線可以啟用IP安全策略,將IP單獨加入白名單,例如:阿里雲伺服器,可以在阿里雲控制檯,埠安全,單獨放行IP。
網站安全也叫web安全,很多APP都嵌入網站來使用一些介面呼叫,方便快捷的同時,也要對網站進行安全加固,包括網站的漏洞進行檢測,程式碼人工安全審計,網站木馬後門的檢測與清除,網站防篡改部署,網站日誌安全分析,定期的對網站進行安全巡檢等安全工作,自己對安全加固不是太懂的話也可以找專業的網站安全公司來處理,國內SINESAFE,綠盟,啟明星辰,都是比較不錯的,網站需要啟用https協議訪問,通過SSL證照來加密APP的資料傳輸。
APP的程式碼加密與混淆,APP在開發的同時一定要對程式碼進行混淆加密,對核心功能包括一些支付功能,都做程式碼的加密,對APP的每段程式碼進行人工安全審計,提前檢測出APP漏洞進行修復,防止攻擊者下載APK逆向進行程式碼的解密操作,對資料的傳輸做AES加密,混合多層次的加密與解密,防止通過資料抓包來篡改資料進行POST到API介面,達到篡改資料的目的,有些APP存在一些邏輯功能,都是通過APP資料抓包來實現的,有些APP開發者並沒有對一些許可權做嚴格的安全判斷與限制,導致可以繞過,直接執行其他賬戶的操作,像賬戶的密碼修改,資料修改等等。
對APP使用者登入做安全認證,增強APP介面的安全,增加身份安全驗證,包括人臉以及手機簡訊驗證碼,再結合手機裝置資訊來安全認證,防止惡意登入。在支付的介面做資料傳輸的雙向加密措施,支付閘道器與APP的伺服器IP做繫結,資料做SSL加密傳輸,AES加密。
很多公司的APP運營者都十分重視APP的安全問題,APP安全了,才能保障整個公司業務的安全,在APP開發階段應該對APP進行安全測試,包括APP安全滲透,滲透測試服務,APP的逆向破解保護,如果您的APP資料被篡改,使用者資訊被洩露,肯定是APP存在漏洞,找專業的滲透測試公司來幫您找到APP存在的漏洞,防止攻擊擴大化,將損失降到最低。國內比較專業的滲透測試公司,像SINE安全,啟明星辰,綠盟,深信服,都是比較專業的,APP安全要從多個方面去入手,伺服器安全,網站安全,APP程式碼,傳輸加密,介面安全等等方面去深入的安全加固,來增強公司安全團隊的安全應急快速響應的能力。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2668494/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 伺服器滲透測試之攻擊漏洞方法伺服器
- 用APP滲透測試來查詢網站被駭客攻擊的根源以及漏洞修復APP網站
- APP安全測試 該如何滲透檢測APP存在的漏洞APP
- 網站被攻擊滲透測試出漏洞怎麼辦網站
- APP安全測試的主要內容 滲透APK DEX逆向 漏洞挖掘等等APPAPK
- 如何進行滲透測試XSS跨站攻擊檢測
- 網站安全測試之APP滲透測試漏洞網站APP
- Kali linux滲透測試系列————28、Kali linux 滲透攻擊之社會工程學攻擊Linux
- 滲透測試:看“道德黑客”如何進行模擬攻擊黑客
- 網站安全滲透測試服務之discuz漏洞挖掘與利用網站
- 如何學習網站漏洞滲透測試學習網站
- 滲透測試模擬黑客攻擊之蒐集資訊黑客
- 滲透測試服務之瀏覽器攻擊分析瀏覽器
- 滲透測試服務之伺服器攻擊手段伺服器
- 黑客攻擊滲透測試的社會工程學利用黑客
- 滲透測試網站sql注入攻擊與防護網站SQL
- 【滲透測試培訓】什麼是ARP欺騙攻擊?攻擊方法有哪些?
- APP滲透測試基本內容與漏洞掃描介紹APP
- 網站滲透測試安全檢測漏洞網站
- 滲透測試9種常見漏洞
- 滲透攻防Web篇-深入淺出SQL隱碼攻擊WebSQL
- 網站滲透測試服務之簡訊轟炸漏洞挖掘與修復網站
- 滲透測試學習之探測和攻擊無線網路五
- 滲透測試學習之探測和攻擊無線網路六
- 滲透測試學習之探測和攻擊無線網路八
- 滲透測試學習之探測和攻擊無線網路九
- 滲透測試學習之探測和攻擊無線網路十
- 滲透測試學習之探測和攻擊無線網路十一
- 滲透測試學習之探測和攻擊無線網路一
- 滲透測試學習之探測和攻擊無線網路二
- 滲透測試學習之探測和攻擊無線網路三
- 滲透測試學習之探測和攻擊無線網路四
- 黑客是如何利用DNS域傳送漏洞進行滲透與攻擊的?黑客DNS
- 如何防止XSS攻擊
- 滲透測試常見漏洞有哪些?如何有效防範?
- 網站漏洞檢測 滲透測試檢測手法網站
- DDoS攻擊主要分為哪幾類?滲透測試入門必看!
- 使用C#winform編寫滲透測試工具--SQL隱碼攻擊C#ORMSQL