當(dāng)前位置:首頁 >  IDC >  安全 >  正文

APP網(wǎng)站安全漏洞檢測詳細(xì)介紹

 2019-03-05 14:13  來源: A5用戶投稿   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

關(guān)于APP漏洞檢測,分為兩個層面的安全檢測,包括手機(jī)應(yīng)用層,以及APP代碼層,與網(wǎng)站的漏洞檢測基本上差不多,目前越來越多的手機(jī)應(yīng)用都存在著漏洞,關(guān)于如何對APP進(jìn)行漏洞檢測,我們詳細(xì)的介紹一下。

APP代碼:代碼加密解密,反混跡調(diào)試,模式器安裝

APP應(yīng)用:跟網(wǎng)站漏洞檢測是一樣的,主要是一個SIGN值的正向,反向的算法,牽扯到https協(xié)議的傳輸繞過,SSL安全繞過。

APP漏洞檢測-經(jīng)常出現(xiàn)的漏洞

APP用戶任意登錄漏洞,有些用戶的登錄調(diào)用的是token值,這個值是跟隨用戶的ID值的,APP沒有做安全防護(hù)的情況下可以直接進(jìn)行反編譯,暴力破解生成token,造成可以登錄任何用戶的賬戶。在一個就是手機(jī)里的目錄文件,share_safe目錄里,保存了用戶的賬戶密碼等信息,我們把用戶ID改為其他用戶的,密碼不變,再點開APP就可以登錄其他用戶賬戶了。

APP支付安全繞過漏洞

通過修改APP軟件里的參數(shù)值,進(jìn)行抓包截取,修改參數(shù)值發(fā)送到服務(wù)器端,進(jìn)行繞過支付,直接開通會員,或者是充值。

APP信息泄露漏洞

APK源代碼里會存放一些開發(fā)代碼時候使用的IP地址,以及接收發(fā)送郵件的地址,賬號密碼,或者是一些隱蔽的第三方API接口。APP使用的數(shù)據(jù)庫遠(yuǎn)程地址,以及一些mysql數(shù)據(jù)庫的賬號密碼。APK日志里保存登錄的信息,包括用戶的賬號密碼。

APP組件漏洞

相當(dāng)于網(wǎng)站漏洞里的邏輯功能漏洞,有些APP組件在軟件進(jìn)行調(diào)用的時候并沒有對齊進(jìn)行嚴(yán)格的安全過濾,導(dǎo)致沒有進(jìn)行安全驗證,就直接調(diào)用組件功能了。比如在調(diào)用發(fā)送手機(jī)短信,打開某個瀏覽器,打開URL網(wǎng)站的組件時會產(chǎn)生漏洞。

APP反編譯漏洞

APK安卓下的軟件包可以被直接反編譯,導(dǎo)致可以重新生成新的軟件,再一個反編譯軟件后對其進(jìn)行修復(fù)。劫持軟件廣告,彈窗跳轉(zhuǎn),下載其他軟件等漏洞操作。本文來源www.sinesafe.com

 

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

熱門排行

信息推薦