2024Android客戶端安全測試報告模板

XXAPP（android）安全測試報告■文檔編號■密級■版本編號1.0■日期?DATE\@"yyyy"2024

■版本變更記錄時間版本說明修改人 目錄目錄一. 測試環(huán)境 2二. 測試結果匯總 2三. 詳細測試報告 33.1 客戶端靜態(tài)安全 33.1.1 反編譯保護 33.1.2 安裝包簽名 33.1.3 應用完整性校驗 43.1.4 組件導出安全 53.2 客戶端數(shù)據(jù)安全 63.2.1 本地文件權限配置 63.2.2 本地文件內容安全 73.2.3 本地日志內容安全 73.3 客戶端運行時安全 83.3.1 輸入記錄保護 83.3.1 屏幕錄像保護 93.3.1 進程注入保護 103.3.1 Activity劫持保護 113.4 安全策略設置 123.4.1 密碼復雜度策略 123.4.2 認證失敗鎖定策略 133.4.3 單點登錄限制策略 143.4.4 會話超時策略 153.4.5 UI敏感信息安全 163.5 通信安全 163.5.1 加密協(xié)議有效性 163.6 服務器端安全 203.6.1 SQL注入 20四. 感謝 20摘要經(jīng)XX公司授權，滲透測試小組于xxxx年xx月xx日-xxxx年xx月xx日，對XXAPPAndroid客戶端進行了滲透測試工作，滲透測試結果如下。認為被測網(wǎng)站當前安全狀態(tài)是：遠程不安全系統(tǒng)／遠程一般安全系統(tǒng)／遠程安全系統(tǒng)／*安全等級評定參考附錄A，編寫報告時請將注釋刪除。*／測試對象相關地址安全評價XXAPPAndroid客戶端IP/域名遠程不安全系統(tǒng)遠程一般安全系統(tǒng)遠程安全系統(tǒng)測試結果如下：嚴重問題：1個中等問題：2個輕度問題：1個風險提示：1個安全問題分布圖／*安全問題分布圖采用堆積柱形圖，注意顏色填充，圖例在右側，編寫報告時請將注釋刪除。*／詳細安全問題匯總如下：發(fā)現(xiàn)問題匯總測試項測試內容結果威脅等級客戶端靜態(tài)安全反編譯保護不安全中危安裝包簽名不安全中危應用完整性校驗安全--組件導出安全安全--客戶端數(shù)據(jù)安全本地文件權限配置不安全中危本地文件內容安全不安全高危本地日志內容安全不安全高?？蛻舳诉\行時安全輸入記錄保護不安全中危屏幕錄像保護不安全中危進程注入保護不安全高危Activity劫持保護不安全中危安全策略設置密碼復雜度策略安全--認證失敗鎖定策略安全--單點登錄限制策略安全--會話超時策略不安全低危UI敏感信息安全安全--通信安全加密協(xié)議有效性不安全高危服務器端安全SQL注入不安全高危服務概述本次滲透測試工作是由的滲透測試小組獨立完成的。滲透測試小組在xxxx年xx月xx日-xxxx年xx月xx日對XX系統(tǒng)進行了滲透測試工作。在此期間，滲透測試小組利用部分前沿的攻擊技術，使用成熟的黑客攻擊手段，集合軟件測試技術（標準）對指定網(wǎng)絡、系統(tǒng)做入侵攻擊測試，希望由此發(fā)現(xiàn)網(wǎng)站、應用系統(tǒng)中存在的安全漏洞和風險點。測試流程滲透測試服務流程定義為如下階段。滲透測試流程信息收集：此階段中，測試人員進行必要的信息收集，如IP地址、DNS記錄、軟件版本信息、IP段、Google中的公開信息等。滲透測試：此階段中，測試人員根據(jù)第一階段獲得的信息對網(wǎng)絡、系統(tǒng)進行滲透測試。此階段如果成功的話，可能獲得普通權限。缺陷利用：此階段中，測試人員嘗試由普通權限提升為管理員權限，獲得對系統(tǒng)的完全控制權。在時間許可的情況下，必要時從第一階段重新進行。成果收集：此階段中，測試人員對前期收集的各類弱點、漏洞等問題進行分類整理，集中展示。威脅分析：此階段中，測試人員對發(fā)現(xiàn)的上述問題進行威脅分類和分析其影響。輸出報告：此階段中，測試人員根據(jù)測試和分析的結果編寫直觀的滲透測試服務報告。風險管理及規(guī)避為保障客戶系統(tǒng)在滲透測試過程中穩(wěn)定、安全的運轉，我們將提供以下多種方式來進行風險規(guī)避。對象的選擇為更大程度的避免風險的產(chǎn)生，滲透測試還可選擇對備份系統(tǒng)進行測試。因為備份系統(tǒng)與在線系統(tǒng)所安裝的應用和承載的數(shù)據(jù)差異較小，而其穩(wěn)定性要求又比在線系統(tǒng)低，因此，選擇對備份系統(tǒng)進行測試也是規(guī)避風險的一種常見方式。時間的控制從時間安排上，測試人員將將盡量避免在數(shù)據(jù)高峰時進行測試，以此來減小測試工作對被測試系統(tǒng)帶來的壓力。另外，測試人員在每次測試前也將通過電話、郵件等方式告知相關人員，以防止測試過程中出現(xiàn)意外情況。技術手段的滲透測試人員都具有豐富的經(jīng)驗和技能，在每一步測試前都會預估可能帶來的后果，對于可能產(chǎn)生影響的測試（如：溢出攻擊）將被記錄并跳過，并在隨后與客戶協(xié)商決定是否進行測試及測試方法。監(jiān)控措施針對每一系統(tǒng)進行測試前，測試人員都會告知被測試系統(tǒng)管理員，并且在測試過程中會隨時關注目標系統(tǒng)的負荷等信息，一旦出現(xiàn)任何異常，將會停止測試。工具使用在使用工具測試的過程中，測試人員會通過設置線程、插件數(shù)量等參數(shù)來減少其對系統(tǒng)的壓力，同時還會去除任何可能對目標系統(tǒng)帶來危害的插件，如：遠程溢出攻擊類插件、拒絕服務攻擊類插件等等。參考依據(jù)為了保證此次滲透測試的先進性、完備性、規(guī)范性，滲透工程師將參考下列國內、國際與滲透測試有關的標準進行工作。國內可參考的標準、指南或規(guī)范ISO/IEC27001:2005信息技術-安全技術-信息系統(tǒng)規(guī)范與使用指南ISO/IEC13335-1:2004信息技術-安全技術-信息技術安全管理指南ISO/IECTR15443-1:2005信息技術安全保障框架ISO/IECPDTR19791:2004信息技術安全技術運行系統(tǒng)安全評估GB/T20984-2007信息安全技術信息安全風險評估規(guī)范GB/T19715.1-2005信息技術-信息技術安全管理指南GB/T19716-2005信息技術-信息安全管理實用規(guī)則GB/T18336-2001信息技術-安全技術-信息技術安全性評估準則GB/T17859-1999計算機信息系統(tǒng)安全保護等級劃分準則GB/T20984-2007信息安全技術信息安全風險評估規(guī)范GB/T20988-2007信息系統(tǒng)災難恢復規(guī)范GB/Z20986-2007信息安全事件分類分級指南滲透測試最佳實踐安全服務工作規(guī)范、滲透測試實施規(guī)范……國際可參考的標準、指南或規(guī)范信息系統(tǒng)審計標準（ISACA）G3利用計算機輔助審計技術信息系統(tǒng)審計標準（ISACA）G7應有的職業(yè)謹慎信息系統(tǒng)審計標準（ISACA）G9不正當行為的審計考慮信息系統(tǒng)審計標準（ISACA）G18信息系統(tǒng)管理信息系統(tǒng)審計標準（ISACA）G19不正當及非法行為信息系統(tǒng)審計標準（ISACA）G33對網(wǎng)絡使用的總體考慮CESG(CHECK)ITHealthCheck方法OWASPOWASP_Testing_Guide_v3OWASPOWASP_Development_Guide_2005OWASPOWASP_Top_10_2010_Chinese_V1.0OWASPOWASP_Top_10_2013-Chinese-V1.2OWASPOWASP_Top_10_2017_RC1_V1.0OSSTMMOSSTMM_Web_App_AlphaWeb應用安全委員會（WASC）WASCThreatClassificationv2……預期收益通過實施滲透測試服務，可對貴方的網(wǎng)站系統(tǒng)起到如下推進作用：明確安全隱患滲透測試是一個從空間到面再到點的過程，測試人員模擬黑客的入侵，從外部整體切入最終落至某個威脅點并加以利用，最終對整個網(wǎng)絡產(chǎn)生威脅，以此明確整體系統(tǒng)中的安全隱患點。提高安全意識如上所述，任何的隱患在滲透測試服務中都可能造成“千里之堤潰于蟻穴”的效果，因此滲透測試服務可有效督促管理人員杜絕任何一處小的缺陷，從而降低整體風險。提高安全技能在測試人員與用戶的交互過程中，可提升用戶的技能。另外，通過專業(yè)的滲透測試報告，也能為用戶提供當前流行安全問題的參考。測試服務說明測試對象與環(huán)境本次滲透測試按著事先約定的測試范圍展開測試工作，測試對象如下所示：測試對象測試項測試結果Package名稱版本信息APK文件大小APK-Md5值（在線查詢：/file_hash.php）測試帳號測試賬號賬號密碼Ukey高權限system******無低權限test******無／*若無測試賬號將該表刪除，編寫報告時請將注釋刪除。*／測試過程中，測試小組使用過多個IP地址開展的分析工作，地址如下：測試IPIP地址IP地址IP地址IP地址11／*填寫測試工程師電腦的IP地址，編寫報告時請將注釋刪除。*／在此通知相關人員在對受測試的目標站點服務器、相應的網(wǎng)絡入侵檢測系統(tǒng)進行安全監(jiān)控和日志分析時，排除以上IP地址產(chǎn)生的任何違規(guī)信息，以保證分析結果的準確有效。測試時間與人員本次滲透測試按著事先約定的測試時間開展，如下所示：測試時間測試工作時間段起始時間xxxx年xx月xx日結束時間xxxx年xx月xx日本次測試小組參與滲透測試人員，如下所示：測試人員參測人員名單姓名張三所屬部門XX服務交付部聯(lián)系方式zhangsan@測試環(huán)境硬件：Emulator虛擬機(NexusS)客戶端版本：Android4.4.2詳細測試報告客戶端靜態(tài)安全反編譯保護問題描述成功的反編譯將使得攻擊者能夠完整地分析APP的運行邏輯，尤其是相關業(yè)務接口協(xié)議、和通信加密的實現(xiàn)。測試步驟使用反編譯工具對客戶端進行反編譯，并使用JavaDecompiler打開jar包：測試結果【中?！恳韵碌臏y試結果中也需要標注漏洞的風險等級不安全?？蛻舳舜a可以被完整地反編譯。以下的測試結果中也需要標注漏洞的風險等級安全建議建議客戶端進行加殼處理防止攻擊者反編譯客戶端，至少要對核心代碼進行混淆。安裝包簽名問題描述在Android中，包名相同的兩個APK會被認為是同一個應用。當新版本覆蓋舊版本時，簽名證書必須一致，否則會被拒絕。（即使開啟了“允許未知來源的應用”）。如果APK沒有使用自己的證書進行簽名，將會失去對版本管理的主動權。測試步驟使用JDK中的jarsigner.exe檢查安裝包的簽名。測試結果不安全。APK使用測試簽名（而非專用簽名）。安全建議建議客戶端使用APP從屬方證書進行簽名后進行發(fā)布而不是使用第三方開發(fā)商的證書進行簽名，以防開發(fā)商內部監(jiān)管異常，證書濫用的情況出現(xiàn)。應用完整性校驗問題描述缺失完整性校驗主要會面臨盜版、破解內購、在應用市場中夾帶木馬、廣告等風險。測試步驟將客戶端程序文件反編譯，修改源碼或資源文件后重新打包安裝運行。經(jīng)測試，APP無法被重新打包運行。測試結果安全?？蛻舳顺绦虼嬖谧孕ｒ灤胧?。安全建議建議客戶端在每次開機啟動時進行客戶端自身的應用完整性校驗，在驗證邏輯中不使用MANIFEST.MF中的數(shù)據(jù)作為驗證憑證，同時需驗證是否有不屬于該客戶端版本的新文件添加，驗證過程于服務器端完成。組件導出安全問題描述導出組件沒有進行嚴格的訪問控制，那么其它APP就可以通過調用這個導出組件的接口來訪問原本沒有聲明權限的功能，構成本地權限提升。測試步驟檢查客戶端是否存在組件劫持風險，查看客戶端程序具有導出哪些應用信息的權限。反編譯APK文件后，檢查AndroidManifest文件中是否有多余的android:export聲明，客戶端是否存在導出其他應用信息的權限。測試結果安全。沒有發(fā)現(xiàn)多余的export聲明。安全建議避免不必要的組件導出?？蛻舳藬?shù)據(jù)安全本地文件權限配置問題描述視具體的泄露信息而定，敏感信息泄露可能會方便惡意程序竊取憑據(jù)，或者泄露一些原本不希望被用戶看到的內容。測試步驟查看APP數(shù)據(jù)目錄下的文件權限。測試結果不安全。有部分文件全局可讀。安全建議正常的文件權限最后三位應為空（類似“rw-rw”），目錄則允許多一個執(zhí)行位（類似“rwxrwx—x”）。本地文件內容安全問題描述檢查APP數(shù)據(jù)目錄中的文件中是否包含敏感內容。包括文本文件、二進制文件、SharedPreference等XML文件、WebView等數(shù)據(jù)庫文件等等。視具體的泄露信息而定，敏感信息泄露可能會方便惡意程序竊取憑據(jù)，或者泄露一些原本不希望被用戶看到的內容。測試步驟查看APP目錄下的文件內容，發(fā)現(xiàn)了明文存儲的用戶ID和密碼：測試結果不安全。發(fā)現(xiàn)了明文存儲的敏感信息。安全建議盡量避免在文件、數(shù)據(jù)庫等位置寫入敏感信息。如果確實需要存儲，應當進行加密。本地日志內容安全問題描述視具體的泄露信息而定，敏感信息泄露可能會方便惡意程序竊取憑據(jù)，或者泄露一些原本不希望被用戶看到的內容。測試步驟使用logcat命令查看APP輸出的日志，如下：測試結果不安全。在日志中可見網(wǎng)絡傳輸報文的內容，內含等價明文的敏感信息安全建議開發(fā)過程中應盡量避免在日志中輸出敏感信息，上線前應及時去除不必要的日志輸出?？蛻舳诉\行時安全輸入記錄保護問題描述和PC端常見的木馬類似，惡意程序可以對用戶輸入的敏感信息（主要是密碼）進行竊聽。測試步驟通過在native層讀取/dev/input/event0設備，截取到了密碼輸入內容：測試結果不安全。安全建議盡量使用系統(tǒng)自定義的隨機軟鍵盤（而非系統(tǒng)輸入法）來輸入敏感信息?；蛘邔ative層輸入記錄功能進行Hook（需要root權限）。屏幕錄像保護問題描述和輸入記錄類似，惡意程序可以對用戶輸入的敏感信息（主要是密碼）進行竊聽。測試步驟進入登錄頁面，在輸入密碼的同時，進行連續(xù)截圖，即可記錄用戶輸入的密碼：測試結果不安全?？蛻舳顺绦驔]有防護截屏操作。安全建議在敏感信息的輸入過程盡量避免視覺反饋，或者在操作系統(tǒng)層面對截屏相關功能進行Hook以阻止敏感信息輸入期間其它程序的截屏操作（需要root權限）。進程注入保護問題描述如果Android客戶端沒有對進程進行有效的保護，攻擊者就可以向從Native層面向客戶端進程遠程加載任意.so鏈接庫，從而侵入客戶端進程的進程空間，以搜索、篡改敏感內存或干涉客戶端的執(zhí)行過程。測試步驟嘗試通過pTrace將一個會輸出logcat的.so庫注入目標進程中，相關的兩個進程均成功：測試結果不安全。攻擊者將惡意代碼的so文件注入到客戶端進程中，就有可能實現(xiàn)任意控制程序執(zhí)行。安全建議在Native環(huán)境中防護ptrace并檢查當前進程中的可執(zhí)行模塊。也可利用一些外部產(chǎn)品，使得客戶端在虛擬機中運行。Activity劫持保護問題描述檢查客戶端是否存在Activity劫持風險。成功的Activity劫持將會替換客戶端的啟動界面，對用戶產(chǎn)生很大的誘騙作用。測試步驟安裝綠盟activity劫持測試工具，在劫持目標中填寫客戶端進程名，點ok后工具自動隱藏。啟動客戶端。發(fā)現(xiàn)客戶端程序的主界面被成功替換：測試結果不安全?？蛻舳藳]有對Activity劫持進行防護。安全建議Activity劫持通常依靠注冊Receiver響應ent.action.BOOT_COMPLETED事件。客戶端程序可以在啟動前檢查Receiver并報警；由于Activity界面劫持攻擊通常是將自己的頁面附著在客戶端之上，因此需要進行界面切換操作，因此在界面切換到后臺時彈出警告信息也可以達到一定的效果。除此之外，因為Android進程棧的工作原理，建議開發(fā)客戶端時針對進程棧進行相應的保護，可禁止其他進程放置于客戶端之上。安全策略設置密碼復雜度策略問題描述如果系統(tǒng)缺少密碼復雜度策略，攻擊者將有機會通過暴力猜測、撞庫等方式獲取一些安全意識淡薄的合法用戶的認證憑據(jù)。測試步驟人工測試，嘗試將密碼修改為弱口令，如：123456，654321，121212，888888等，查看客戶端是否拒絕弱口令。測試結果安全?？蛻舳舜嬖诿艽a復雜度策略。安全建議在注冊賬號、修改密碼等需要設置密碼的過程中，檢測用戶的密碼強度，并在用戶嘗試設置弱口令時予以提示或阻止。認證失敗鎖定策略問題描述如果系統(tǒng)不存在認證失敗鎖定策略，攻擊者將有機會對認證憑據(jù)進行暴力猜測。測試步驟測試客戶端是否會限制密碼輸入錯誤次數(shù)，是否會進行鎖定。測試結果安全。在登錄失敗5次后，賬號被鎖定。安全建議以IP地址或用戶賬號為單位，如果用戶連續(xù)進行若干次錯誤的認證嘗試，則禁止其后續(xù)認證操作。單點登錄限制策略問題描述如果系統(tǒng)允許同一個用戶同時在多個會話中登錄，那么用戶就很難察覺到自身的賬號已經(jīng)被盜。測試步驟測試同一個帳號是否可以同時在多個設備上登錄客戶端，進行操作。測試結果安全。先登錄的用戶會話被終止。安全建議在數(shù)據(jù)庫或服務器緩存中記錄每個用戶當前登錄的SessionID，不允許同一個用戶同時在多個Session中登錄。會話超時策略問題描述對于認證會話不會超時的APP，如果用戶在使用過程中將設備放置一旁并遺忘，攻擊者將有可能通過物理接觸的方式以用戶身份進行操作。測試步驟測試客戶端在一定時間內無操作后，是否能提示超時并要求重新登錄。測試結果不安全。靜置超過10分鐘，客戶端依然能夠進行操作。安全建議長時間不操作時，應當終止會話。UI敏感信息安全問題描述視具體的泄露信息而定，敏感信息泄露可能會方便惡意程序竊取憑據(jù)，或者泄露一些原本不希望被用戶看到的內容。測試步驟人工觀察客戶端的各個功能界面，檢查是否存在敏感信息泄露問題。測試結果安全。沒有發(fā)現(xiàn)敏感信息。安全建議敏感信息在界面上顯示時，應當進行模糊化處理。通信安全加密協(xié)議有效性問題描述如果客戶端與服務器之間的通信加密協(xié)議實現(xiàn)不當，攻擊者將有機會對當前網(wǎng)絡環(huán)境中其他合法用戶的通信內容進行竊聽甚至篡改。測試步驟檢測客戶端與服務器的通信過程能否抵抗被動嗅探攻擊、中間人攻擊、重放攻擊等常見形式的通信攻擊。在手機終端設置HTTP代理，指向電腦上的fiddler代理工具。準備完成后打開手機客戶端，在fiddler上替換服務器發(fā)送給客戶端的證書，對客戶端和服務器的通信進行SSL中間人攻擊，成功捕獲到客戶端和服務器間的通信，但通信字段明顯經(jīng)過分組對稱加密算法處理：對客戶端程序代碼進行逆向分析，從登錄按鈕的Listener開始進行邏輯追蹤，可見Listener對密碼進行Base64編碼后進行了異步過程調用：找到異步過程子程，如下：繼續(xù)進行邏輯追蹤，發(fā)現(xiàn)HttpWebService.login(string,string)中調用了加密封裝功能：在相關功能中發(fā)現(xiàn)了以常量字符串形式硬編碼存儲的加密算法、初始化向量、和密鑰：編寫代碼仿制相關加密協(xié)議