专栏首页信安之路内部app的收集方式

内部app的收集方式

如今,随着移动互联网的发展,移动APP的安全问题已被各大公司所重视,然而,内部APP不像对外业务APP那样,做过严格的安全测试,自然安全性也不会那么高,所以内部APP可以成为突破企业安全边界的新的威胁,下面我们就大概介绍一下,内部APP的一些安全弱点以及威胁。

内部APP获取方式

在渗透测试中,想要利用内部APP的弱点突破内网,那么我们首先需要的是利用什么样的方式获取到内部APP,然后对其进行检测,利用其弱点突破内网。

社工钓鱼

这个方式不只是可以在这里使用,他的作用在不同的人手里可以发挥不同的作用,可以用在获取凭证、引导安装木马程序等,但是通过社工钓鱼的方式获取内部使用的APP可能容易的多,毕竟大家对帐号密码、安装软件等敏感操作都有很强的戒备心理。

公司网站

有时候公司为了方便员工下载app,在公网上或者应用市场上发布自己的内部APP,导致任何人都可以下载安装其内部APP,这就导致了内部APP的泄漏。可以通过收集二级域名、扫描公司外网IP段、在各大应用市场搜索等方式获取。

内部交流群

通常企业员工之间会有qq群或者微信群等交流场所,我们可以通过混进他的的交流群,或许在群共享中会有内部资料的泄漏。

搜索引擎

搜索引擎作为资料搜索的神器,有些服务器存在文件浏览漏洞,一些文件列表就会被搜索引擎所收录,即使目前该漏洞已经修补,我们也可以通过搜索引擎获取曾经泄漏的文件。

云平台

云平台作为文件分享是非常方便的,有些内部用户之间会对共有的文件进行文件共享,分享之后没有及时删除,这是就给了我们可乘之机,这种方式,不仅仅只有用于存储的云平台还有像github的代码分享平台也会存在这些问题。

常见弱点

内部APP的常见弱点也是所有移动APP都可能存在的弱点,但是带外公开的APP都是经过严格的安全测试的,相对存在的常见安全问题就没那么多,但是我们还是要学习一下,所有APP都可能存在的安全问题。移动APP也算是一种客户端,从服务器端获取数据然后显示,所以服务端的漏洞也算是移动安全中的一部分,然而服务端的安全与web安全的测试方式没啥区别,存在的安全弱点也没什么不同,像sql注入、命令执行、上传问题、逻辑漏洞等常规漏洞。移动APP也会有一些特有的漏洞,比如:数据传输问题、本地存储问题、信息泄漏等问题。下面就简单介绍一下移动APP特有的常见问题。

本文分享自微信公众号 - 信安之路(xazlsec),作者:myh0st

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-07-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 安全研究者的自我修养

    在上篇文章《推荐今年 C3 黑客大会上的几个议题》中提到 ”Attacking Chrome IPC“ 这个议题,我觉得该议题最大的亮点是在前半场,作者 ned...

    信安之路
  • 利用 AicLaunchAdminProcess 参数污染 bypass UAC

    之前花了一段时间研究 UACME 这个开源项目,获益匪浅,对其中的两个方法的非常感兴趣,重点研究了一下。分别是第三十八种和第五十二种方法。同属白名单组件绕过方法...

    信安之路
  • 二进制漏洞学习笔记

    这个程序非常简单,甚至不需要你写脚本,直接运行就能获得shell。 写这个程序的目的主要是为了使第一次接触漏洞的同学更好地理解栈溢出的原理。

    信安之路
  • 网站数据库被黑客修改 该如何解决防止攻击?2020年大全

    APP渗透测试目前包含了Android端+IOS端的漏洞检测与安全测试,前段时间某金融客户的APP被黑客恶意攻击,导致APP里的用户数据包括平台里的账号,密码,...

    技术分享达人
  • 程序媛爬取了 5 个 APP 的 4220 个数据,解读过去的一年到底过得怎么样!

    2018年刚刚过去了,在这2019年的开始,我要以一个数据分析er的身份通过我记录了一整年的5个APP,来看看我这一年到底过得怎么样!

    CDA数据分析师
  • 怎样让你的移动APP人尽皆知?

     一、狠抓实用性,多关注用户的生活细节。   从用户的生活细节着手,发现未被满足的需求,再尝试植入产品。如星巴克推出的EarlyBird,下载后可以设定时间提醒...

    人称T客
  • 看手机APP大数据如何解析中国女性汽车消费者

    奥美中国与易观国际日前联合发布了调研报告《新手相之捕获女车主》,从208万女性样本中进行APP数据分析,描绘了一组中国女性汽车消费者的人物画像。 中国已经成为不...

    小莹莹
  • APP安全测试分越权,SQL,XSS漏洞 怎样进行检测?

    目前越来越多的APP遭受到黑客攻击,包括数据库被篡改,APP里的用户数据被泄露,手机号以及姓名,密码,资料都被盗取,很多平台的APP的银行卡,充值通道,聚合支付...

    技术分享达人
  • 提供APP开发技术与提供APP开发服务还真不是一回事?

    现如今APP开发早已被大家熟悉了解,这是好事,让更多的人懂APP。但我们发现一个奇怪的事情,西安APP开发公司在不断增加,随后又很快消失。这是什么原因呢?

    西安弈聪软件公司
  • APP加固方案需稳定与安全并重

    很多开发者没有意识到APP的安全隐患可能会严重损害他们的利益,加固可以帮助他们规避很多风险;

    腾讯云@移动安全

扫码关注云+社区

领取腾讯云代金券