APP滲透測(cè)試方案_第1頁(yè)
APP滲透測(cè)試方案_第2頁(yè)
APP滲透測(cè)試方案_第3頁(yè)
APP滲透測(cè)試方案_第4頁(yè)
APP滲透測(cè)試方案_第5頁(yè)
已閱讀5頁(yè),還剩4頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

APP滲透測(cè)試方案2016-7-29XXXXX公司廣東省廣州市XXXXX地址目錄TOC\o"1-5"\h\z\o"CurrentDocument"App滲透簡(jiǎn)介 3\o"CurrentDocument"APP滲透測(cè)試所用工具 3\o"CurrentDocument"2.1代理抓包工具 3\o"CurrentDocument"2.2反編譯工具 3\o"CurrentDocument"2.3其他針對(duì)服務(wù)端的web滲透工具 4\o"CurrentDocument"APP滲透測(cè)試的方法 5\o"CurrentDocument"3.1數(shù)據(jù)包分析、測(cè)試 5\o"CurrentDocument"3.2APP反編譯還原代碼 5\o"CurrentDocument"APP滲透測(cè)試流程 5\o"CurrentDocument"4.1項(xiàng)目啟動(dòng) 5\o"CurrentDocument"4.1.1項(xiàng)目啟動(dòng)準(zhǔn)備 5\o"CurrentDocument"4.1.2實(shí)施方案制定 6\o"CurrentDocument"4.2項(xiàng)目實(shí)施 6\o"CurrentDocument"4.2.1信息收集 6\o"CurrentDocument"4.2.2平臺(tái)使用不當(dāng)?shù)臏y(cè)試 6\o"CurrentDocument"4.2.3不安全的數(shù)據(jù)存儲(chǔ)的測(cè)試 6\o"CurrentDocument"4.2.4不安全的通信的測(cè)試 7\o"CurrentDocument"4.2.5不安全的身份驗(yàn)證的測(cè)試 7\o"CurrentDocument"4.2.6加密不足的測(cè)試 7\o"CurrentDocument"4.2.7不安全的授權(quán)的測(cè)試 7\o"CurrentDocument"4.2.9 代碼篡改的測(cè)試 7\o"CurrentDocument"4.3項(xiàng)目收尾 8\o"CurrentDocument"4.3.1報(bào)告編寫 8\o"CurrentDocument"4.3.2問(wèn)題復(fù)查 8App滲透簡(jiǎn)介移動(dòng)app大多通過(guò)webapi服務(wù)的方式跟服務(wù)端交互,這種模式把移動(dòng)安全跟web安全綁在一起。移動(dòng)app以web服務(wù)的方式跟服務(wù)端交互,服務(wù)器端也是一個(gè)展示信息的網(wǎng)站,常見(jiàn)的web漏洞在這也存在,比如說(shuō)SQL注入、文件上傳、中間件/server漏洞等。APP滲透測(cè)試所用工具2.1代理抓包工具BurpsuitFiddler代理抓包工具主要用于抓取、分析、篡改APP與服務(wù)端之間的交互數(shù)據(jù)包。爆破、解編碼、執(zhí)行會(huì)話令牌等作用。2.2反編譯工具APP的反編譯有兩種反編譯方式,dex2jar和apktool,兩個(gè)工具反編譯的效果是不一樣的,dex2jar反編譯出java源代碼,apktool反編譯出來(lái)的是java匯編代碼。工具1:dex2jar+jdgui工具2:apktool工具1反編譯出來(lái)的是java源代碼,易讀性比較高工具2反編譯出來(lái)的東西為smali反匯編代碼、res資源文件、assets配置文件、lib庫(kù)文件,我們可以直接搜索smali文件和資源文件來(lái)查找鏈接等。2.3其他針對(duì)服務(wù)端的web滲透工具NMAPNmap是一款網(wǎng)絡(luò)掃描和主機(jī)檢測(cè)的非常有用的工具。 Nmap是不局限于僅僅收集信息和枚舉,同時(shí)可以用來(lái)作為一個(gè)漏洞探測(cè)器或安全掃描器。 它可以適用于winodws,linux,mac等操作系統(tǒng)。Nmap是一款非常強(qiáng)大的實(shí)用工具,可用于:檢測(cè)活在網(wǎng)絡(luò)上的主機(jī)(主機(jī)發(fā)現(xiàn))檢測(cè)主機(jī)上開(kāi)放的端口(端口發(fā)現(xiàn)或枚舉)檢測(cè)到相應(yīng)的端口(服務(wù)發(fā)現(xiàn))的軟件和版本檢測(cè)操作系統(tǒng),硬件地址,以及軟件版本檢測(cè)脆弱性的漏洞(Nmap的腳本)SLQMAPSqlmap是一種開(kāi)源的滲透測(cè)試工具,可以自動(dòng)檢測(cè)和利用SQL注入漏洞以及接入該數(shù)據(jù)庫(kù)的服務(wù)器。它擁有非常強(qiáng)大的檢測(cè)引擎、具有多種特性的滲透測(cè)試器、通過(guò)數(shù)據(jù)庫(kù)指紋提取訪問(wèn)底層文件系統(tǒng)并通過(guò)外帶連接執(zhí)行命令。支持的數(shù)據(jù)庫(kù):MySQL,Oracle,PostgreSQL,MicrosoftSQLServer,MicrosoftAccess,IBMDB2,SQLite,Firebird,SybaseandSAPMaxDBSQL注入技術(shù):boolean-basedblind,time-basedblind,error-based,UNIONquery,stackedqueriesandout-of-band枚舉數(shù)據(jù):users,passwordhashes,privileges,roles,databases,tablesandcolumns其他針對(duì)strut2的漏洞利用腳本、網(wǎng)站弱電掃描工具、網(wǎng)站目錄爆破工具、BeEF等APP滲透測(cè)試的方法3.1數(shù)據(jù)包分析、測(cè)試?yán)胋urpsuit、fiddler對(duì)APP進(jìn)行抓包分析、篡改。這個(gè)方法利用在移動(dòng)設(shè)備上設(shè)置代理,通過(guò)人工操作使app與服務(wù)端交互。測(cè)試APP與服務(wù)端的業(yè)務(wù)流程是否存在漏洞。3.2APP反編譯還原代碼有兩種反編譯方式,dex2jar和apktool,兩個(gè)工具反編譯的效果是不一樣的,dex2jar反編譯出java源代碼,即ktool反編譯出來(lái)的是java匯編代碼。從源代碼層面上分析APP安全性。APP滲透測(cè)試流程4.1項(xiàng)目啟動(dòng)4.1.1項(xiàng)目啟動(dòng)準(zhǔn)備項(xiàng)目啟動(dòng)前為了保障雙方利益、使得APP滲透項(xiàng)目可以順利進(jìn)行需與客戶簽訂項(xiàng)目合同、項(xiàng)目保密協(xié)議、項(xiàng)目啟動(dòng)實(shí)施協(xié)調(diào)等前期工作。4.1.2實(shí)施方案制定某某獲取到XXX的書面授權(quán)許可后,才進(jìn)行滲透測(cè)試的實(shí)施。并且將實(shí)施范圍、方法、時(shí)間、人員等具體的方案與XXX進(jìn)行交流,并得到XXX的認(rèn)同。在測(cè)試實(shí)施之前,某某會(huì)做到讓XXX對(duì)滲透測(cè)試過(guò)程和風(fēng)險(xiǎn)的知曉,使隨后的正式測(cè)試流程都在XXX的控制下。4.2項(xiàng)目實(shí)施4.2.1信息收集收集目標(biāo)系統(tǒng)暴露于網(wǎng)絡(luò)上,不需要額外的授權(quán)便可獲取到的信息。專業(yè)安全工具掃描、嗅探,對(duì)系統(tǒng)的網(wǎng)絡(luò)和應(yīng)用程序進(jìn)行遠(yuǎn)程漏洞掃描,并對(duì)掃描結(jié)果進(jìn)行分析。利用社會(huì)工程學(xué)原理獲取目標(biāo)系統(tǒng)敏感信息。4.2.2平臺(tái)使用不當(dāng)?shù)臏y(cè)試濫用平臺(tái)功能,沒(méi)有使用平臺(tái)安全控制。包括Android的intent,平臺(tái)權(quán)限控制,錯(cuò)誤使用TouchlD,秘鑰鏈(KeyChain)、或是移動(dòng)操作系統(tǒng)中的其他安全控制。4.2.3不安全的數(shù)據(jù)存儲(chǔ)的測(cè)試包括不安全的數(shù)據(jù)存儲(chǔ)和非故意的數(shù)據(jù)泄漏。 包括郵箱、手機(jī)號(hào)碼、身份證信息、QQ、用戶密碼、等信息。424不安全的通信的測(cè)試包括不完善的通信握手過(guò)程、使用了有漏洞的SSL版本、不安全的通訊協(xié)議、敏感信息的明文傳輸,等等。425不安全的身份驗(yàn)證的測(cè)試包括對(duì)終端用戶不安全的身份驗(yàn)證或不正確的session會(huì)話管理;需要身份鑒權(quán)的時(shí)候沒(méi)有識(shí)別用戶身份;在一個(gè)持續(xù)的會(huì)話中沒(méi)有正確的識(shí)別用戶身份;會(huì)話管理中的漏洞。426加密不足的測(cè)試對(duì)代碼使用弱加密技術(shù)對(duì)敏感信息資產(chǎn)進(jìn)行加密進(jìn)行測(cè)試發(fā)現(xiàn)。427不安全的授權(quán)的測(cè)試包括任何失敗的授權(quán)行為(例如:在客戶端的授權(quán)決策、強(qiáng)迫瀏覽等。)。它有別于身份驗(yàn)證問(wèn)題(例如:設(shè)備注冊(cè)、用戶標(biāo)識(shí)等)。428客戶端代碼質(zhì)量問(wèn)題的測(cè)試包括例如緩沖區(qū)溢出、字符串格式漏洞以及其他不同類型的代 碼級(jí)錯(cuò)誤,而這些錯(cuò)誤的解決方法是重寫在移動(dòng)設(shè)備中運(yùn)行的某些代碼。4.2.9代碼篡改的測(cè)試包括二進(jìn)制修補(bǔ)、本地資源修改、方法鉤用、方法調(diào)整和動(dòng)態(tài)內(nèi)存修改。4.3項(xiàng)目收尾431報(bào)告編寫滲透測(cè)試報(bào)告包

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論