APP網站安全漏洞檢測服務的詳細介紹

網站安全發表於2019-03-06

關於APP漏洞檢測,分為兩個層面的安全檢測,包括手機應用層,以及APP程式碼層,與網站的漏洞檢測基本上差不多,目前越來越多的手機應用都存在著漏洞,關於如何對APP進行漏洞檢測,我們詳細的介紹一下.

APP程式碼:程式碼加密解密,反混跡除錯,模式器安裝

APP應用:跟網站漏洞檢測是一樣的,主要是一個SIGN值的正向,反向的演算法,牽扯到https協議的傳輸繞過,SSL安全繞過。

APP網站安全漏洞檢測服務的詳細介紹

APP漏洞檢測-經常出現的漏洞

APP使用者任意登入漏洞,有些使用者的登入呼叫的是token值,這個值是跟隨使用者的ID值的,APP沒有做安全防護的情況下可以直接進行反編譯,暴力破解生成token,造成可以登入任何使用者的賬戶。在一個就是手機裡的目錄檔案,share_safe目錄裡,儲存了使用者的賬戶密碼等資訊,我們把使用者ID改為其他使用者的,密碼不變,再點開APP就可以登入其他使用者賬戶了。

APP支付安全繞過漏洞

透過修改APP軟體裡的引數值,進行抓包擷取,修改引數值傳送到伺服器端,進行繞過支付,直接開通會員,或者是充值。

APP資訊洩露漏洞

APK原始碼裡會存放一些開發程式碼時候使用的IP地址,以及接收傳送郵件的地址,賬號密碼,或者是一些隱蔽的第三方API介面。APP使用的資料庫遠端地址,以及一些mysql資料庫的賬號密碼。APK日誌裡儲存登入的資訊,包括使用者的賬號密碼。

APP元件漏洞

相當於網站漏洞裡的邏輯功能漏洞,有些APP元件在軟體進行呼叫的時候並沒有對齊進行嚴格的安全過濾,導致沒有進行安全驗證,就直接呼叫元件功能了。比如在呼叫傳送手機簡訊,開啟某個瀏覽器,開啟URL網站的元件時會產生漏洞。

APP網站安全漏洞檢測服務的詳細介紹

APP反編譯漏洞

APK安卓下的軟體包可以被直接反編譯,導致可以重新生成新的軟體,再一個反編譯軟體後對其進行修復。劫持軟體廣告,彈窗跳轉,下載其他軟體等漏洞操作。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2637713/,如需轉載,請註明出處,否則將追究法律責任。

相關文章