APP網站安全漏洞檢測服務的詳細介紹
01)概述:
關於APP漏洞檢測,分為兩個層面的安全檢測,包括手機應用層,以及APP代碼層,與網站的漏洞檢測基本上差不多,目前越來越多的手機應用都存在著漏洞,關於如何對APP進行漏洞檢測,我們詳細的介紹一下.
APP代碼:
代碼加密解密,反混跡調試,模式器安裝
APP應用:
跟網站漏洞檢測是一樣的,主要是一個SIGN值的正向,反向的算法,牽扯到https協議的傳輸繞過,SSL安全繞過。
02)APP漏洞檢測-經常出現的漏洞
APP用戶任意登錄漏洞:
有些用戶的登錄調用的是token值,這個值是跟隨用戶的ID值的,APP沒有做安全防護的情況下可以直接進行反編譯,暴力破解生成token,造成可以登錄任何用戶的賬戶。在一個就是手機裏的目錄文件,share_safe目錄裏,保存了用戶的賬戶密碼等信息,我們把用戶ID改為其他用戶的,密碼不變,再點開APP就可以登錄其他用戶賬戶了。
APP支付安全繞過漏洞
通過修改APP軟件裏的參數值,進行抓包截取,修改參數值發送到服務器端,進行繞過支付,直接開通會員,或者是充值。
APP信息泄露漏洞
APK源代碼裏會存放一些開發代碼時候使用的IP地址,以及接收發送郵件的地址,賬號密碼,或者是一些隱蔽的第三方API接口。APP使用的數據庫遠程地址,以及一些mysql數據庫的賬號密碼。APK日誌裏保存登錄的信息,包括用戶的賬號密碼。
APP組件漏洞
相當於網站漏洞裏的邏輯功能漏洞,有些APP組件在軟件進行調用的時候並沒有對齊進行嚴格的安全過濾,導致沒有進行安全驗證,就直接調用組件功能了。比如在調用發送手機短信,打開某個瀏覽器,打開URL網站的組件時會產生漏洞。
APP反編譯漏洞
APK安卓下的軟件包可以被直接反編譯,導致可以重新生成新的軟件,再一個反編譯軟件後對其進行修復。劫持軟件廣告,彈窗跳轉,下載其他軟件等漏洞操作。
轉載:https://www.cnblogs.com/loudongxiufu/p/10475654.html
APP網站安全漏洞檢測服務的詳細介紹