展开

关键词

App测试

APP威胁在App项目中都会碰到三座App大山。App客户端、数据传输App服务端。下面以分析检测的思路进行对App威胁的这三座大山进行一些剖析梳理总结。 所以该App的反编译这项是相对的。 本地数据检测App本地数据性问题需要关注的问题分别为:App所在目录的文件权限、SQLite数据库文件的性、敏感数据明文直接存储Sdcard。 这样就可以进行对手机环境下的App应用进行数据抓包分析了(具体包分析过程,具体需求具体分析)。App服务器App服务端需要关注的是服务端API、业务逻辑、中间件、服务器应用。 主要可以通过渗透测试的方式对App的服务器进行检测,通过模拟恶意攻击方式进行对服务器攻击。从而提高App服务器的性。

16631

APP合规

背景介绍 APP合规的监管机构:APP违法违规收集使用个人信息治理工作组(APP治理小组)、工业和信息化部信息通讯管理局(工信部)、国家移动互联网应用管理中心(病毒中心)、地方通信局、地方网APP应用合规需要关注问题 在开发并上架APP项目时需要重点关注:程序自身保护、运行环境、身份认证、数据存储、内部组件、恶意攻击这六大问题。? APP如何做好基础防护? 为了让我们开发的APP能过合规检测,我们需要重点关注如下五点,让我们的APP更加。? APP合规建设的思考 开发人员:熟悉负责的产品功能、了解个人 信息采集、使用和展示定制个人隐私政策,并对组员以及APP开发团队进行合规的要求以及做法进行做宣传以及合规应用和监督把控。 软件开发人员:熟悉了解APP应用客户端合规所涉及的技术信息,避免出现漏洞。QA:根据合规的标准进行做验证测试,严格把控APP质量,守好APP应用上架的最后一道防线。

45421
  • 广告
    关闭

    2021云+社区年度盘点发布

    动动手指转发活动或推荐好文,即可参与虎年公仔等百份好礼抽奖!

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    App二三事

    为什么要现在几乎所有App都是网络强相关的,客户端展示的很多东西都是通过接口从服务器上获取的,当然,服务器也会接收大量从客户端上传的数据,这两端在进行双向通信的时候,就很容易被第三方截获,导致数据被盗取 App的移动主要包括下面几种:密钥破解,导致本地加密数据被盗取通信密钥破解,导致接口数据被盗取伪造接口数据上报接口签名被破解,导致接口可以被重放攻击那么归结起来,实际上就是这样几种模式:代码反编译so 破解中间人攻击用户要的对于用户来说,他所需要的,是自己的敏感数据不被泄漏,不被第三方所知晓,所以,客户端数据的,一般会使用加密的方式来保证,但数据既然存在本地,那么自然既需要加密,也需要解密 说完了这些代码的,我们再来看看密钥的问题,前面说了,密钥一定会『藏』在本地。 TCP加密目前大部分的App都是通过Http来进行数据交互,但基于TCP,我们可以实现自己的通信协议,另外,利用TCP包的无序性来增加破解的难度,这样,利用TCP心跳来维持一个的通信通道,也是一个非常不错的方案

    39520

    iOS App 测试

    一、数据存储主要从以下几个方面考虑Sandbox 数据存储Keychain 数据存储Console Log 数据Keyboard 缓存1. Sandbox 数据存储(1) Sandbox 文件存储结构 SubDirectory Description AppName.app 存储 app 执行文件和静态资源文件,改文件夹为只读 Documents App的配置文件等,该文件夹的内容会被同步到backup文件中 Library Application support files LibraryPreference App specific preferences Keyboard cache二、 数据通信测试工具:BurpSuite 装和使用请参见http:docs.alibaba-inc.com:8090pagesviewpage.action? 方法为:application:openURL和application:handleOpenURL测试点:openURL的方法实现中有没有对传入的URL参数做校验openURL有没有校验URL来源是否

    5.9K40

    APP检测手册

    前言随着运营商新技术新业务的发展,运营商层面对的要求有所变化,渗透测试工作将会面临内容、计费、业务逻辑及APP等方面的挑战。 随着运营商自主开发的移动APP越来越多,这些APP可能并不会通过应用市场审核及发布,其中的性将面临越来越多的挑战。 为有效的针对上述各种威胁进行有效防范,保障运营商和客户的业务,本手册将着重从下表所列项目针对APP应用(卓)进行检测。 APP应用测试要点(卓) 客户端APK签名进程和内存保护内存访问和修改反编译保护动态注入 应用完整性校验通信通信加密组件证书有效性 敏感信息数据文件关键数据加密和校验logcat日志访问控制 界面切换保护其他 UI信息泄露 验证码 退出 密码修改验证 Activity界面劫持 表1 APP应用测试要点第一章 测试环境1.1 SDKJava JDK 1.8.0_151,Android

    1.2K31

    Android之APP测试篇

    android:exportedService组件的设置错误可以被第三方APP任意调用,导致敏感信息泄露,并可能受到权限提升、拒绝服务等风险Content provider组件 反编译 apk 文件 当Content Provider组件可以被第三方app任意调用时,会导致敏感信息泄露,并可能受到目录遍历、SQL注入等攻击等风险。 Broadcast receiver该属性的配置错误可能会导致敏感信息泄漏,本地拒绝服务器漏洞、有序广播导致的问题。‍‍‍‍ 0x02:测试框架‍‍‍ 推荐一个:移动漏洞测试框‍架(MobSF)是一种自动化的多合一移动应用程序(卓苹果PC端)可以进行静态和动态分析的测试,恶意软件分析和评估框架。‍‍‍ 谷歌自带翻译,有点乱该工具还支持动态分析 0x03:ADB测试 推荐工具(Drozer)Drozer是一款Android测试框架。 是目前最好的Android测试工具之一。

    44510

    Android之APP测试篇

    android:exportedService组件的设置错误可以被第三方APP任意调用,导致敏感信息泄露,并可能受到权限提升、拒绝服务等风险Content provider组件 反编译 apk 文件 当Content Provider组件可以被第三方app任意调用时,会导致敏感信息泄露,并可能受到目录遍历、SQL注入等攻击等风险。 Broadcast receiver该属性的配置错误可能会导致敏感信息泄漏,本地拒绝服务器漏洞、有序广播导致的问题。‍‍‍‍ 0x02:测试框架‍‍‍ 推荐一个:移动漏洞测试框‍架(MobSF)是一种自动化的多合一移动应用程序(卓苹果PC端)可以进行静态和动态分析的测试,恶意软件分析和评估框架。 谷歌自带翻译,有点乱该工具还支持动态分析 0x03:ADB测试 推荐工具(Drozer)Drozer是一款Android测试框架。 是目前最好的Android测试工具之一。

    66931

    APP测试点概述

    一、装包测试1.1 关于反编译目的是为了保护公司的知识产权和方面的考虑等,一些程序开发人员会在源码中硬编码一些敏感信息,如密码。 而且若程序内部一些设计欠佳的逻辑,也可能隐含漏洞,一旦源码泄漏,隐患巨大。 1.2 关于签名这点IOS可以不用考虑,因为APP stroe都会校验。但Android没有此类权威检查,我们要在发布前校验一下签名使用的key是否正确,以防被恶意第三方应用覆盖装等。 5.2 关键连接是否使用通信例如HTTPS,在获知接口设计后我们需要评估是否其中内容包含敏感信息,如果未使用通信,需要知会开发修改。 7)应用程序应考虑或者虚拟机器产生的用户提示信息或警告8)应用程序不能忽略系统或者虚拟机器产生的用户提示信息或警告,更不能在警告显示前,利用显示误导信息欺骗用户,应用程序不应该模拟进行警告误导用户

    42321

    Android APP防护总结

    签名校验检查APP中自己写入的私钥hash值与当前签名中的私钥hash值是否相一致。一致则说明APP没有被改动,允许APP运行;不一致则说明APP被二次打包,APP就自我销毁进程。 组件四大组件的防护其实无非就是访问权限控制。在创建组件时,如果是私有的组件,android:exported属性一律设置为false。 这里对LocalBroadcastManager说明一下,其基于Handler实现的,拥有更高的效率与性。性主要体现在数据仅限于应用内部传输,避免广播被拦截、伪造、篡改的风险。

    49120

    APP漏洞测试 如何对APP进行方位的漏洞检测

    客户网站以及APP在正式上线之前,都会找专业的公司进行测试,检测网站、APP是否存在漏洞,以及一些隐患,大多数的运营者觉得装一些防护软件就足以防止攻击了,越这样,网站APP越容易受到篡改数据 测试是对网站、APP应用(android,ios)进行面的检测与漏洞扫描,模拟攻击者的手法,切近实战,人工检查网站APP存在的漏洞,最后评估生成报告,简单来概括也叫黑箱测试,在没有客户提供的网站源代码以及服务器管理员权限的情况下 我们SINE在对客户网站、APP进行渗透测试之前,都需要获取客户的授权,再一个确认客户的网站是否是客户的,验证所有权,再授权我们进行渗透,授权相当于甲方公司同意对乙方对旗下的网站域名,以及 APP进行远程的黑箱,白箱的渗透测试,双方公司盖章,电子签或快递签,开始服务。 APP测试方面包含APP反编译测试,APP脱壳漏洞,APP二次打包植入后门漏洞,APP进程检测,APP appi接口的漏洞检测,任意账户注册漏洞,短信验证码盗刷,签名效验漏洞,APP加密签名破解

    67610

    你需要了解的APP

    怎样的APP的呢?只要攻击者所花费的时间成本和精力超过其攻击逆向破解后获取到的收益,那么你的APP就相对。对于个人开发者或者某些小企业开发者而言,APP的始终是一件让人非常头疼的事情。 下面我以开发角度出发,进行梳理了一个APP需要关注的APP的问题(没有绝对的)。主要分为四个方向分别为: 应用、组件、运行时、通信。? 应用 在开发APP过程中,不的代码编写方式和没有周考虑到相应的性,从而给开发的APP带来一定的风险,那么应用这个最重要的需要关注哪些方面? 应用主需要关注:二进制、敏感数据、敏感资源、完整性、证书存储。这五个方面处理的好会一定程度提高APP性,下面就对这五方面进行做个详细分析。?二进制?1. 对APP抓包问题可以检测校验抓包所需要装的证书信息。敏感数据? 1.

    26151

    APP分析之打车软件

    今天我们来分析一下他的性到底如何。 经过严密的分析发现:该打车APP(司机版)主要的防护在两个地方第一个是:登录过程中,通过传递context对象到so库中的方式去拿到apk的签名信息的md5签名信息上传。 迫使点击确定的方式退出app。首先我们来说第一个校验:本身使用so作为获取签名信息的地方相应的比在java中获取签名信息的方式要。但是so获取签名信息必须给底层传递context对象。 如果是盗版会弹出提示:“请卸载该软件后再使用”,这种防护更没有性可言了。我们只需要把这行代码注释或者删除掉。这个校验就没有任何的作用了。

    35490

    App测试——Android APK反编译

    什么是Android 反编译我们下载到的Android App 装包是 Apk文件(Android Application Package) 。 什么是dex文件dex是Android系统的可执行文件,包含应用程序的部操作指令以及运行时数据。 下载装电脑上首先必须装配置好Java环境,点击下载地址:dex2jar下载地址 ,下载后直接解压即可,解压后可以看到如下图所示文件内容:? 一般App为了保障都会进行代码混淆或加密,所以一般反编译的代码都是经过混淆的代码不能直接看到原始代码。 装JDK1.8以上版本。验证是否装成功可以打开cmd进入到apktool文件目录,然后输入命令apktool看到如下 提示说明装成功。

    24320

    App测试—Android测试规范

    备注:allowBackup属性未配置时默认为truedebuggable开启用例风险:当debuggable标志值为true时,即表示是App可调试的,存在泄露风险。 本地数据库注入文件遍历检测风险:获取或者篡改app中存储的敏感信息,如手机号、账号、密码等,在业务运行操作时无法保证数据。 WebView组件测试WebView是Android系统提供能显示Web页面的系统控件,例如混合类型的App中H5界面就是使用了WebView组件。 数据的完整性进行校验风险App向服务器提交的数据易被中间人篡改,对用户数据的完整性造成影响,如用户信息被破解利用等问题。 键盘劫持测试风险:攻击者可以通过劫持键盘窃取用户输入数据,可能带来用户账号密码、敏感数据等泄露的风险,特别是银行金融类App

    43231

    Android App防范措施的小结

    代码混淆代码混淆是最基本的做法,至少能让App在被反编译之后不那么顺畅地阅读源码。当然,即使是混淆之后的代码,只要花费一定的时间,仍然是可以厘清代码之间的逻辑。 如果签名不正确,直接让App crash。我们重写JNI_OnLoad()函数,在此处进行校验。 ; return JNI_ERR;}verifySign()函数会执行真正的校验,将存放在native层的签名字符串和当前App的签名进行比对。 为了确保App一启动就能够进行验证签名。 总结这些措施也只是冰山一角,因为一直是永恒的话题。我们还可以考虑使用加壳、反动态调试等等。

    29820

    从 “ 短信劫持马 ” 来谈APP

    从 “ 短信劫持马 ” 来谈APP?这种短信劫持木马的概念和新闻我想大家都应该接触过了,就不怎么说概念了,具体的可以搜一搜新闻,一抓一大把。 注意:192.168.1.114:3389 -> 119.137.2.209:12398,这里后面的 119.137.2.209 这个是装了 apk 的卓手机的 ip。 思考:用 MSF 去做木马,原来的文件和本身寄生后的文件,只有几 kb 的差距,而且原 APP 功能一切正常,以上功能都只需要装打开就能做到。 另外需要注意APP的来源比如:1.能在不连接公用网络的情况下就不要连接公用 WIFI。 2.不要随意下载从网站上的 APP,有些 APP 带了点什么你是完不知道的,尽管提供 APP 下载的站点是某某中心,尽量从官方和应用商店下载。3.有必要请加装手机杀毒软件。

    53721

    移动端App扫描平台-MobSF

    MobSF简介MobSF(Mobile-Security-Framework)是一种开源自动化的移动应用程序(Android iOS Windows)测试框架,能够执行静态,动态和恶意软件分析。 它可用于AndroidiOS和Windows移动应用程序的有效和快速分析,并支持二进制文件(APK,IPA和APPX)分析。 下载地址: Mobile-Security-Framework-MobSFreleases下载装:wkhtmltopdf 该工具用于将测试报告转化为pdf格式。 Certificate)权限信息Android API信息Androidmanifest分析(标志位、组件配置等)代码分析、文件分析url、email、string等iOSIPA基本信息自定义网址方案权限许可应用传输性 HTTPS代理对于Android的版本4.4 - 9.0,局代理设置在运行时自动应用。

    43720

    移动APP行业报告金融篇

    移动 APP 行业现状与导读移动 APP 已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右,国内移动互联网活跃用户数已经突破10亿,移动互联网这样快速的推移 本移动 APP 行业报告将对金融、电商、游戏三大重灾区行业进行举例分析并配以图表说明,还原移动 APP 行业本貌。本期来看金融篇。 金融行业App现状概述据统计,2015年金融行业移动 APP 用户约为8亿,2016年用户约增长至10亿。 低危占比37%:应用崩溃,APP主要逻辑被逆向。支付问题位列金融行业移动 APP 问题之首。问题种类繁多,但其究竟是如何给广大 APP 用户造成危害的,我们选取一枚案例共同深入分析。 手机里存储的明文文件解决方案 腾讯云乐固推出一套完善的移动金融解决方案。移动 APP 行业问题详细解决方案可点击链接:https:www.qcloud.comproductcr

    759100

    Android App加固行业分析报告

    作者 SecurityMan鉴于当前Android App加固市场火爆,特整合一个当前行业内较流行的加固厂商的加固产品介绍,希望能为大家拨开迷雾,见加固之真章!?????????????

    550100

    地方商业银行APP性分析

    但是对于这种新的商业模式和业务接口,你们的App做好接受国内上万白帽子的众测的准备了么?对于银行类目前有相关业务审核标准。银联的移动终端支付应用软件规范应该算是其中之一。?? 同时,android killer没有识别到是哪家APP加固程序(以前分析其他工程的时候 可以识别梆梆、爱加密)所以,只能考虑其他办法识别,那么,加固的核心是处理dex文件,那好,进入虚拟机中找到com.rytong.bankbj 评估:没有使用第三方键盘SDK做加固,获取其保存内容不是无可能。建议使用专业的专业SDK键盘。(2)So文件分析AppVerify.So:联网校验所有app的文件是否被篡改。 当然也要做出以下几条:(1)开发者遵守App开发代码规范。(2)使用成熟组件、如:软键盘、清场,特别是推送服务不建议使用xmpp。(3)定期对客户端进行评估。(众测模式)。 (4)有必要做App加固(建议使用传统厂商)、阻止代码反编译、阻止APP运行时被动态注入。* 作者:bt0sea,本文属FreeBuf原创奖励计划文章,未经许可禁止转载

    61560

    相关产品

    • 移动应用安全

      移动应用安全

      移动应用(APP)安全为用户提供移动应用全生命周期的一站式安全解决方案。涵盖移动应用加固、安全测评、安全组件等服务……

    相关资讯

    热门标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      扫码关注云+社区

      领取腾讯云代金券