APP 安全测试(OWASP Mobile Top 10)–后篇之一

APP 安全测试(OWASP Mobile Top 10)–后篇之一OWASPMobileTop10相对于Web的OWASPTop10来说,个人觉得描述的相对简单多,并且安全测试的时候的可操作性也不是太强。本来打算个人整体捋一遍的,但因为项目时间的问题,前面四个章节安排给了别人去负责,我只负责后面的六章(所以标题写了后篇)。下面我把个人的测试方法简单叙述一下。下面可能有些测试点不全或者有瑕疵,欢迎纠错。。。。OWASPM…

大家好,又见面了,我是你们的朋友全栈君。

       OWASP Mobile Top 10 相对于Web的OWASP Top 10来说,个人觉得描述的相对简单多,并且安全测试的时候的可操作性也不是太强。本来打算个人整体捋一遍的,但因为项目时间的问题,前面四个章节安排给了别人去负责,我只负责后面的六章(所以标题写了后篇)。下面我把个人的测试方法简单叙述一下。下面可能有些测试点不全或者有瑕疵,欢迎纠错。。。。


      OWASP Mobile Top 10 :

  •  M1 – 平台使用不当
  • M2 – 不安全的数据存储
  • M3 – 不安全的通信
  • M4 – 不安全的身份验证
  • M5 – 弱加密
  • M6 – 不安全的授权
  • M7- -客户端代码质量
  • M8- -代码篡改
  • M9– 逆向工程
  • M10- 无关功能

测试工具:

     adb ,dexjar,apktool.jar,signapk.jar,jd-gui,Android Killer,hijackActivity,adb/dorzer,Bytecode View, Burp,Fortify

测试内容:

M5 – 弱加密

  1. 是否内置代码加密/硬编码
  2. 加密密钥管理
  3. 是否合理加密算法
  4. 是否使用广为人知的加密加密算法
  5. 是否过时/不安全

测试方法:

1.静态代码审计,代码里面check(这属于白盒,正常只有个apk的话这步就不需要了)

APP 安全测试(OWASP Mobile Top 10)--后篇之一

2. 反编译check

     2.1 反编译apk

         1. 将apk格式后缀缓存.zip后缀
         2. 查看class.dex文件,然后将其转换成jar包格式

APP 安全测试(OWASP Mobile Top 10)--后篇之一

   3. 命令行解包:d2j-dex2jar.bat  E:\APP Security Testing\***\classes.dex -o E:\APP Security   Testing\OutPut\classes_jar2dex.jar

    注意:这边jar包名字一定要跟上面一样

APP 安全测试(OWASP Mobile Top 10)--后篇之一

   4. 查看生成的jar文件,然后用jd-gui打开

     APP 安全测试(OWASP Mobile Top 10)--后篇之一

 5. 正常代码混肴或者加固后,具体的是看不到的。

 6. 但往往代码加固不牢的情况下,我们还是可以查看到,在反编译的代码中搜索关键字(Encode/Decode/Password/Key)

   APP 安全测试(OWASP Mobile Top 10)--后篇之一

 7. 查看代码中具体调用这些弱密码的代码段,判断使用是否合理。

 8. 关于硬编码和Key同样,确定是不是可以在代码中直接能找到。


M6 – 不安全的授权

  1. 不安全的应用程序权限设置
  2. 冗余授予的权限
  3. 存在不安全的直接对象引用(IDOR)漏洞

测试方法:

    1. 这边使用的Android Killer,因为这个工具会把权限这块明显的列出来(Andriod killer的使用有点傻瓜式的,这边我没有具体写出来)

        APP 安全测试(OWASP Mobile Top 10)--后篇之一

      上面标色的权限部分,根据业务需要分别check一下,看一下是不是真的是必须的。

    2. 冗余授权也可以在这边找到,但也可以用另外一个工具drozer查看

    APP 安全测试(OWASP Mobile Top 10)--后篇之一

     APP 安全测试(OWASP Mobile Top 10)--后篇之一

   3. 存在不安全的直接对象引用(IDOR)漏洞

     这个问题测试的时候需要app本身,而且需要Burp截断,截断后修改主体信息,看能否修改成功,这边有点像测试防篡改和防重放的测试。 可以重点测试敏感信息,身份认证相关的API。


未完待续:APP 安全测试(OWASP Mobile Top 10)–后篇之二

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/139477.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • 网络功能虚拟化NFV[通俗易懂]

    网络功能虚拟化NFV[通俗易懂]1NFV简介1.1NFV的产生背景网络功能虚拟化(NFV)技术是为了解决现有专用通信设备的不足而产生的。通信行业为了追求设备的高可靠性、高性能,往往采用软件和硬件结合的专用设备来构建网络。比如专用的路由器、CDN、DPI、防火墙等设备,均为专用硬件加专用软件的架构。这些专用通信设备带来高可靠性和高性能的同时,也带来一些问题。网元是软硬件垂直一体化的封闭架构,业务开发周期长、技术创新难、扩展…

  • Mozilla正在SpiderMonkey中测试JavaScript并行计算

    Mozilla正在SpiderMonkey中测试JavaScript并行计算

  • unity打包webgl程序和js键盘监听事件冲突的问题。

    unity打包webgl程序和js键盘监听事件冲突的问题。

  • Java安全之JBoss反序列化漏洞分析

    Java安全之JBoss反序列化漏洞分析0x00前言看到网上的Jboss分析文章较少,从而激发起了兴趣。前段时间一直沉迷于工具开发这块,所以打算将jboss系列反序列化漏洞进行分析并打造成GUI

    2021年12月13日
  • 微信聊天记录数据分析「建议收藏」

    目录一、项目背景二、数据准备三、数据预处理及描述性统计四、数据分析1.聊天时间分布图2.高频词汇统计3.词云图展示五、其它探索性分析一、项目背景2021年2月20日我和我女朋友第一次见面,之后开启了我们两个人的故事,时隔一年我想将我们的聊天记录提取出来进行简单的数据分析一下。微信里面有2021年4月20日至2022年2月20日的聊天记录,一共十个月的数据。二、数据准备在网上有许多文章关于可以找到关于…

  • ios认证书_ios 证书信任设置

    ios认证书_ios 证书信任设置调用NSURLConnection实现HTTPS访问时,如果服务器证书是由CA机构颁发的(全球可信的机构,如verisign),连接方式和HTTP并没有区别。但是如果证书不是合法机构颁发的就需要定制证书验证过程。本文从记录了部分对于该过程的研究。

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号