专栏首页洛米唯熊C/S客户端的安全测试流程

C/S客户端的安全测试流程

0x00:前言

听说C/S客户端的安全测试很少出现测试流程的。洛米唯熊百度一找,谷歌一搜。果然。没有正规的测试流程。偶然在一个群里看到一个图,感觉还可以,就自己摸索的尝试对应的流程写一下找到的工具给各位大佬做一下分享。

0x01:目录分析

1、基本信息获取

链接地址:

https://zhidao.baidu.com/question/935871668215037772.html

Universal Extractor工具:自动分析文件类型并提取程序中捆绑的插件。

在想,基本信息应该要获取吧!比如注册表信息、安装时的动态情况、进程获取等

百度一下“软件安装监视器”

排名前三的工具

Total Uninstall、InstallSpy 2.0、Soft Organizer

举个栗子:

2、文件数字签名检测

百度一下“文件数字签名检测”

排名第一的是:

文数字签名检查工具(SigcheckGUI)

举个栗子:

unsigned表示未签名文件,

为漏洞或者木马可利用文件。

3、编译选项检测

编译?可否逆向源码?在等大佬给答案

4、抗逆向分析检测

逆向首先要脱壳吧!常用的查壳工具“Peid”了解下

脱完壳。OD、IDA了解一下。

分析应该是可逆程序为不安全程序,反之安全。

5、危险函数检查

大多程序应该为C或者C++写的吧。易语言才是最牛逼的

函数

严重性

解决方案

gets

最危险

使用 fgets(buf, size, stdin)。这几乎总是一个大问题!

strcpy

很危险

改为使用 strncpy。

strcat

很危险

改为使用 strncat。

sprintf

很危险

改为使用 snprintf,或者使用精度说明符。

scanf

很危险

使用精度说明符,或自己进行解析。

sscanf

很危险

使用精度说明符,或自己进行解析。

fscanf

很危险

使用精度说明符,或自己进行解析。

vfscanf

很危险

使用精度说明符,或自己进行解析。

vsprintf

很危险

改为使用 vsnprintf,或者使用精度说明符。

vscanf

很危险

使用精度说明符,或自己进行解析。

vsscanf

很危险

使用精度说明符,或自己进行解析。

streadd

很危险

确保分配的目的地参数大小是源参数大小的四倍。

strecpy

很危险

确保分配的目的地参数大小是源参数大小的四倍。

strtrns

危险

手工检查来查看目的地大小是否至少与源字符串相等。

realpath

很危险(或稍小,取决于实现)

分配缓冲区大小为 MAXPATHLEN。同样,手工检查参数以确保输入参数不超过 MAXPATHLEN。

syslog

很危险(或稍小,取决于实现)

在将字符串输入传递给该函数之前,将所有字符串输入截成合理的大小。

getopt

很危险(或稍小,取决于实现)

在将字符串输入传递给该函数之前,将所有字符串输入截成合理的大小。

getopt_long

很危险(或稍小,取决于实现)

在将字符串输入传递给该函数之前,将所有字符串输入截成合理的大小。

getpass

很危险(或稍小,取决于实现)

在将字符串输入传递给该函数之前,将所有字符串输入截成合理的大小。

getchar

中等危险

如果在循环中使用该函数,确保检查缓冲区边界。

fgetc

中等危险

如果在循环中使用该函数,确保检查缓冲区边界。

getc

中等危险

如果在循环中使用该函数,确保检查缓冲区边界。

read

中等危险

如果在循环中使用该函数,确保检查缓冲区边界。

bcopy

低危险

确保缓冲区大小与它所说的一样大。

fgets

低危险

确保缓冲区大小与它所说的一样大。

memcpy

低危险

确保缓冲区大小与它所说的一样大。

snprintf

低危险

确保缓冲区大小与它所说的一样大。

strccpy

低危险

确保缓冲区大小与它所说的一样大。

strcadd

低危险

确保缓冲区大小与它所说的一样大。

strncpy

低危险

确保缓冲区大小与它所说的一样大。

vsnprintf

低危险

确保缓冲区大小与它所说的一样大。

百度一下“C/C++静态扫描分析工具”

排名前三的是:Flawfinder、TscanCode、SourceInsight_Scan

这个是危险函数的解决方案:

https://blog.csdn.net/leo2007608/article/details/41016517

5、API HOOK防护测试

我自己常用的工具是:火绒剑

down4.huorong.cn/hrsword.exe

还有这个:

 https://www.jpzyfx.com/22367.html

举个栗子:

挺好用的,之前用它抓过病毒程序的东西

5、进程保护测试

进程干扰性?内存?还是?

防护建议:

1、将你所有任务安全合法的DLL名称全部记录下来,并且记录合法DLL的MD5 或者对记录DLL签名校验。

2、查看内存运行是否被直接查看。(WinHex工具)

举个栗子:

看,这个是它的运行内存数据

接着在里面找敏感数据吧!比如账户密码等

7、数据储存安全检查

顾名思义就是:本地文件是否明文储存敏感数据

8、数据传输安全测试

建议可用工具:BURP、wireshark等抓包工具

9、防键盘监听测试

百度搜索“防键盘监听”第一名:KeyScrambler

还有就是一些键盘监听工具:Spyrix Free Keylogger

好的程序,键盘应该防止被监听。

10、单账户多点登陆测试

这个简单 整一个账户,在同个程序登陆,查看是否会被T下线。如果否,则不安全。

11、防进程代码注入检测

这个好防。

请看 第五 的防护建议第一条。

12、溢出风险检测

请参考

http://cdmd.cnki.com.cn/Article/CDMD-10135-1014352678.htm 

com fuzz 请参考

https://www.freebuf.com/sectool/76861.html

接口测试工具推荐:COMRaider、httpapi、Postman

13、防截屏检测

好的程序都会防止被截屏、比如银行网银系统、比如国家机密系统。 让程序不能调用“PrintScreen”,这个程序员知道怎么改。

程序员:这锅,我不背。

14、C/S抓包测试

1、抓流量推荐用:wireshark。

2、抓的数据包可以导到BURP用。

3、查看抓到的链接是否浏览器直接打开。

4、是否可以被挂代理抓流量。

5、传输数据是否加密。

0x02:总结

总之C/S客户端的安全测试来源于每次的总结,不断的积累经验。完善以上的目录结构。我觉得C/S客户端的安全测试不止以上的问题,可能还有更多。期待您的完善与建议!!

本文分享自微信公众号 - 洛米唯熊(luomiweixiong),作者:Jaky

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-06-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 利用快捷方式隐藏并执行shellcode

    早期的“桌面图标lnk木马”也是危害一时。“恶意程序”通过伪造成正常应用来混淆视听,造成恶意破坏等操作。

    洛米唯熊
  • vBulletin 5.x pre-auth RCE预警

    vBulletin是世界上用户非常广泛的PHP论坛,很多大型论坛都选择vBulletin作为自己的社区。vBulletin高效,稳定,安全,在中国也有很...

    洛米唯熊
  • MongoDB下的未经授权访问漏洞

    MongoDB是一个基于分布式文件存储的优秀数据库。它是基于C++语言编写的。主要的用途是在为WEB应用提供可扩展的高性能数据存储解决方案。

    洛米唯熊
  • 浅谈非堵塞程序的理解

    我们的计算机系统架构简易可看成如下,I/O接口连接其他硬件如:网卡、键盘鼠标、磁盘等。

    宣言言言
  • 学习新技术的10个建议

    我们生活在一个振奋人心的时代。我们可以越来越方便廉价地获得大量学习资源。这些资源的传播载体由最初的教室被变成了博客,技术论坛等。坐拥如此众多的学习资源,我们没有...

    编程范 源代码公司
  • 使用 JWT 实现 Token 验证

    在开发过程中要实现登录,授权的基础功能有很多方法,通过 JWT 来实现非常方便,安全。因为是无状态的,比较于cookie 方式的实现,JWT能很好的解决跨域请求...

    zhangyunfeiVir
  • 特朗普再出重招:中资超25%或不能在美收购科技公司,拟加强技术出口管制!

    【新智元导读】今年1-5月,中国在美直接投资金额只有18亿美元,同比狂降92%,雪上加霜的是,美国正起草规定,禁止中资股权超25%以上的实体收购美国科技公司,还...

    新智元
  • BAT的“金融经”,金融科技化的新开始

    如果用寒冬来形容当下的互联网金融市场或许再恰当不过了,当政策监管的砝码不断加大,互联网金融的发展已经从当初的疯狂步入冰点,尽管互联网金融的发展正在逐步走向合规,...

    孟永辉
  • BAT巨头引爆新变局,金融科技化上演大革命

    尽管当下的互联网金融遭遇到了困境与难题,但是,金融与科技融合的大趋势并未真正改变。随着大型金融机构对于科技元素的不断加持,未来金融科技化的趋势将会更加明显,由此...

    孟永辉
  • 从零开始一起学习SLAM | 掌握g2o边的代码套路

    师兄:在《g2o: A general Framework for (Hyper) Graph Optimization》这篇文档里,我们找到那张经典的类结构图...

    用户1150922

扫码关注云+社区

领取腾讯云代金券