01）概述：

關於APP漏洞檢測，分為兩個層面的安全檢測，包括手機應用層，以及APP代碼層，與網站的漏洞檢測基本上差不多，目前越來越多的手機應用都存在著漏洞，關於如何對APP進行漏洞檢測，我們詳細的介紹一下.

APP代碼：

代碼加密解密，反混跡調試，模式器安裝

APP應用：

跟網站漏洞檢測是一樣的，主要是一個SIGN值的正向，反向的算法，牽扯到https協議的傳輸繞過，SSL安全繞過。

02）APP漏洞檢測-經常出現的漏洞

APP用戶任意登錄漏洞：

有些用戶的登錄調用的是token值，這個值是跟隨用戶的ID值的，APP沒有做安全防護的情況下可以直接進行反編譯，暴力破解生成token，造成可以登錄任何用戶的賬戶。在一個就是手機裏的目錄文件，share_safe目錄裏，保存了用戶的賬戶密碼等信息，我們把用戶ID改為其他用戶的，密碼不變，再點開APP就可以登錄其他用戶賬戶了。

APP支付安全繞過漏洞

通過修改APP軟件裏的參數值，進行抓包截取，修改參數值發送到服務器端，進行繞過支付，直接開通會員，或者是充值。

APP信息泄露漏洞

APK源代碼裏會存放一些開發代碼時候使用的IP地址，以及接收發送郵件的地址，賬號密碼，或者是一些隱蔽的第三方API接口。APP使用的數據庫遠程地址，以及一些mysql數據庫的賬號密碼。APK日誌裏保存登錄的信息，包括用戶的賬號密碼。

APP組件漏洞

相當於網站漏洞裏的邏輯功能漏洞，有些APP組件在軟件進行調用的時候並沒有對齊進行嚴格的安全過濾，導致沒有進行安全驗證，就直接調用組件功能了。比如在調用發送手機短信，打開某個瀏覽器，打開URL網站的組件時會產生漏洞。

APP反編譯漏洞

APK安卓下的軟件包可以被直接反編譯，導致可以重新生成新的軟件，再一個反編譯軟件後對其進行修復。劫持軟件廣告，彈窗跳轉，下載其他軟件等漏洞操作。

轉載：https://www.cnblogs.com/loudongxiufu/p/10475654.html

APP網站安全漏洞檢測服務的詳細介紹