安应用APP渗透测试方案.docx
《安应用APP渗透测试方案.docx》由会员分享,可在线阅读,更多相关《安应用APP渗透测试方案.docx(11页珍藏版)》请在冰豆网上搜索。
安
应
用
APP
渗
透
测
试
方
案2017-6-20
知道创宇·安应用(
目录
1知道创宇安应用简介 2
1.1服务内容 3
1.1.1安全性漏洞挖掘 3
1.1.2漏洞修复方案 3
1.1.3回归测试 3
2APP渗透测试简介 4
3APP渗透测试所用工具 4
3.1代理抓包工具 4
3.2反编译工具 4
3.3其他针对服务端的web渗透工具 5
4APP渗透测试的方法 5
4.1数据包分析、测试 6
4.2APP反编译还原代码 6
5APP渗透测试流程 6
5.1项目启动 6
5.1.1项目启动准备 6
5.1.2实施方案制定 6
5.2项目实施 7
5.2.1信息收集 7
5.2.2平台使用不当的测试 7
5.2.3不安全的数据存储的测试 7
5.2.4不安全的通信的测试 7
5.2.5不安全的身份验证的测试 7
5.2.6加密不足的测试 8
5.2.7不安全的授权的测试 8
5.2.8客户端代码质量问题的测试 8
5.2.9代码篡改的测试 8
5.3项目收尾 8
5.3.1报告编写 8
5.3.2问题复查 8
6流程梳理 9
6.1确定意向 9
6.2启动测试 9
6.1执行测试 9
6.2交付完成 9
7常见问题 9
1、知道创宇安应用简介
安应用模拟黑客对应用进行安全性测试,审计其风险,提供解决方案。
可帮助企业全面发现业务漏洞及风险。
在黑客之前找到可导致企业数据泄露、资损、业务被篡改等危机的漏洞,企业可对漏洞进行应急响应、及时修复。
避免对企业的业务、用户及资金造成损害。
1.1服务内容
1.1.1安全性漏洞挖掘
出应用中存在的安全漏洞。
安应用检测是对传统安全弱点的串联并形成路径,最终通过路径式的利用而达到模拟入侵的效果。
发掘应用中影响业务正常运行、导致敏感信息泄露、造成现金和信誉损失的等的漏洞。
1.1.2漏洞修复方案
安应用的测试目的是防御,故发现漏洞后,修复是关键。
安全专家针对漏洞产生的原因进行分析,提出修复建议,以防御恶意攻击者的攻击。
1.1.3回归测试
漏洞修复后,对修复方案和结果进行有效性评估,分析修复方案的有损打击和误打击风险,验证漏洞修复结果。
汇总漏洞修复方案评估结果,标注漏洞修复结果,更新并发送测试报告。
2、APP渗透测试简介
移动app大多通过webapi服务的方式跟服务端交互,这种模式把移动安全跟web安全绑在一起。
移动app以web服务的方式跟服务端交互,服务器端也是一个展示信息的网站,常见的web漏洞在这也存在,比如说SQL注入、文件上传、中间件/server漏洞等。
3、APP渗透测试所用工具
3.1代理抓包工具
²工具1:
Burpsuit
²工具2:
Fiddler
代理抓包工具主要用于抓取、分析、篡改APP与服务端之间的交互数据包。
爆破、解编码、执行会话令牌等作用。
3.2反编译工具
APP的反编译有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是java汇编代码。
²工具1:
dex2jar+jdgui
²工具2:
apktool
工具1反编译出来的是java源代码,易读性比较高。
工具2反编译出来的东西为smali反汇编代码、res资源文件、assets配置文件、lib库文件,我们可以直接搜索smali文件和资源文件来查找链接等。
3.3其他针对服务端的web渗透工具
²NMAP
Nmap是一款网络扫描和主机检测的非常有用的工具。
Nmap是不局限于仅仅收集信息和枚举,同时可以用来作为一个漏洞探测器或安全扫描器。
它可以适用于winodws,linux,mac等操作系统。
Nmap是一款非常强大的实用工具,可用于:
1)、检测活在网络上的主机(主机发现)
2)、检测主机上开放的端口(端口发现或枚举)
3)、检测到相应的端口(服务发现)的软件和版本
4)、检测操作系统,硬件地址,以及软件版本
5)、检测脆弱性的漏洞(Nmap的脚本)
²SLQMAP
Sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。
它拥有非常强大的检测引擎、具有多种特性的渗透测试器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。
1)、支持的数据库:
MySQL,Oracle,PostgreSQL,MicrosoftSQLServer,MicrosoftAccess,IBMDB2,SQLite,Firebird,SybaseandSAPMaxDB
2)、SQL注入技术:
boolean-basedblind,time-basedblind,error-based,UNIONquery,stackedqueriesandout-of-band
3)、枚举数据:
users,passwordhashes,privileges,roles,databases,tablesandcolumns
²其他
针对strut2的漏洞利用脚本、网站弱电扫描工具、网站目录爆破工具、BeEF等
4、APP渗透测试的方法
4.1数据包分析、测试
利用burpsuit、fiddler对APP进行抓包分析、篡改。
这个方法利用在移动设备上设置代理,通过人工操作使app与服务端交互。
测试APP与服务端的业务流程是否存在漏洞。
4.2APP反编译还原代码
有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是java汇编代码。
从源代码层面上分析APP安全性。
5、APP渗透测试流程
5.1项目启动
5.1.1项目启动准备
项目启动前为了保障双方利益、使得APP渗透项目可以顺利进行需与客户签订项目合同、项目保密协议、项目启动实施协调等前期工作。
5.1.2实施方案制定
某某获取到XXX的书面授权许可后,才进行渗透测试的实施。
并且将实施范围、方法、时间、人员等具体的方案与XXX进行交流,并得到XXX的认同。
在测试实施之前,某某会做到让XXX对渗透测试过程和风险的知晓,使随后的正式测试流程都在XXX的控制下。
5.2项目实施
5.2.1信息收集
²收集目标系统暴露于网络上,不需要额外的授权便可获取到的信息。
²专业安全工具扫描、嗅探,对系统的网络和应用程序进行远程漏洞扫描,并对扫描结果进行分析。
²利用社会工程学原理获取目标系统敏感信息。
5.2.2平台使用不当的测试
滥用平台功能,没有使用平台安全控制。
包括Android的intent,平台权限控制,错误使用TouchID,秘钥链(KeyChain)、或是移动操作系统中的其他安全控制。
5.2.3不安全的数据存储的测试
包括不安全的数据存储和非故意的数据泄漏。
包括邮箱、手机号码、身份证信息、QQ、用户密码、等信息。
5.2.4不安全的通信的测试
包括不完善的通信握手过程、使用了有漏洞的SSL版本、不安全的通讯协议、敏感信息的明文传输,等等。
5.2.5不安全的身份验证的测试
包括对终端用户不安全的身份验证或不正确的session会话管理;需要身份鉴权的时候没有识别用户身份;在一个持续的会话中没有正确的识别用户身份;会话管理中的漏洞。
5.2.6加密不足的测试
对代码使用弱加密技术对敏感信息资产进行加密进行测试发现。
5.2.7不安全的授权的测试
包括任何失败的授权行为(例如:
在客户端的授权决策、强迫浏览等。
)。
它有别于身份验证问题(例如:
设备注册、用户标识等)。
5.2.8客户端代码质量问题的测试
包括例如缓冲区溢出、字符串格式漏洞以及其他不同类型的代码级错误,而这些错误的解决方法是重写在移动设备中运行的某些代码。
5.2.9代码篡改的测试
包括二进制修补、本地资源修改、方法钩用、方法调整和动态内存修改。
5.3项目收尾
5.3.1报告编写
渗透测试报告包括渗透测试整个流程描述,会对发现问题的思路与手法进行必要的说明,并且结合目标系统环境,对安全问题进行风险分析,出具针对性解决方案。
5.3.2问题复查
渗透测试完成后,某某协助XXX对已发现的安全隐患进行修复。
修复完成后,某某渗透测试小组对修复的成果再次进行远程测试复查,对修复的结果进行检验,确保修复结果的有效性。
最终完成《渗透测试复查报告》。
6、流程梳理
6.1确定意向
²在线填写表单:
企业填写测试需求;
²商务沟通:
商务在收到表单后,会立即和意向客户取得沟通,确定测试意向,签订合作合同;
6.2启动测试
²收集材料:
一般包括系统帐号、稳定的测试环境、业务流程等。
6.3执行测试
²风险分析:
熟悉系统、进行风险分析,设计测试风险点;
²漏洞挖掘:
安全测试专家分组进行安全渗透测试,提交漏洞;
²报告汇总:
汇总系统风险评估结果和漏洞,发送测试报告。
6.4交付完成
²漏洞修复:
企业按照测试报告进行修复;
²回归测试:
双方依据合同结算测试费用,企业支付费用。
7、常见问题
²测试所取得的信息是否会外泄?
我们绝对不会把任何客户测试数据泄露给第三方。
所有测试结果都只会通过报告形式发送给客户。
²测试结束后是否可高枕无忧?
恶意攻击者的手法层出不穷,没有任何一家公司做渗透测试能完全保证不会被新的攻击方式入侵。
因此建议定期进行安全性测试。
²是否可以通过工具自己在线渗透测试?
为保证APP的安全必,不建议自行通过工具来测试。
工具只是辅助手段,渗透测试需要很多的专业知识储备,而且不局限于以上测试步骤,需要具体问题具体深入分析。
10
升级会员 