小谈移动APP安全
随着移动互联的扩张,移动APP承载了更多企业的终端梦。“用户手机安装APP以后,企业即埋下一颗种子,可持续与用户保持联系。” 种子是种下了,可要是它本身就是个[特洛伊木马]呢?试想你在某某知名APP平台下载安装一款知名APP,深更半夜突然响起了[THE PHANTOM OF THE OPERA]那会是怎样的一种情景!
通过这近一个月来的观察和实验,斗胆在这里简单介绍一下手机移动APP安全测试方法、工具和一些容易产生安全问题的点。(此处仅就IOS版本APP进行说明)
0x01 细节1.工具:PC、手机;软件:burpsuite/fiddler、sqlmap等
2.代理设置:首先将你的PC和手机置于同一局域网,在PC上打开burpsuite ,proxy选项proxy-listeners
new/edit一下吧
在下拉列表中能够找到PC本机IP,同时可以自定义端口,此处设置了8088。
手机端,连接WIFI后,网络属性设置代理,写上上图IP地址和端口号
此时您的PC端burpsuite就设置完成。
3.接下来就是找到你感兴趣的APP对他们进行友情测试了。测试过程中,有几个安全点我在之前提交的报告中也都提到了,WEB端存在的问题在移动端同样存在(小伙伴们可针对OWASP TOP 10有针对性进行测试,其他此处不尽详表),只是现在WEB前端重兵把守,兵强马壮,而移动端尚未得到足够的重视,相对薄弱,应者那句世界名言,我们何不找找小道前行?
说的这里,提几个比较具有代表性(易发现易批量应用,对隐私数据影响大)的安全关注点:
由于缺乏对移动端安全防护,并且未对APP客户端用户数据做过滤导致SQL注入等一系列问题(跨站/CSRF什么的那就不说了)
WooYun: 乐视网App端Sql注入Num 1
模糊的用户权鉴往往造成各式各样的越权操作,用户隐私数据得不到安全保障;不安全的数据传输过程,敏感数据篡改(登陆、支付)
WooYun: 乐视网2200万用户任意用户登录
WooYun: 中粮我买网APP越权操作缺陷04(删除/修改任意用户信息)
应用设计存在逻辑缺陷导致的跨界
WooYun: 百度某应用设计缺陷可直接浏览企业内部关键系统甚至渗透
移动云端系统载体自身存在缺陷,导致服务器沦陷。如app云端存在远程命令执行漏洞、任意文件上传getshell等
WooYun: 凡客某站远程命令执行
移动安全平台、推广平台存在安全缺陷导致海量APP可被操纵,恶意APP侵害移动用户。
WooYun: 乐视网某主站站控制不严可传播恶意app感染手机端
WooYun: 联想1#某站权限控制不严导致预装恶意App流毒
以上方法针对少量APP测试还是挺实用的,这个月测试下来,就如一位皂友所说,发现这些问题是比较繁琐,但是出现的问题概率比较大。所以问题还是挺好找[email protected] 给俺一个非常不错的建议用于批量检测:在本地搭建http代理记录APP访问日志,然后sqlmap批量扫这些去重的日志!很赞!
0x02 总结各厂商在APP程序开发的过程中严格执行开发安全处置流程同时将WEB应用防线扩至移动端!
各APP应用、推广平台加强自身安全防范,升级安全基线,确保平台之安全可靠,要知道,你们可承载着万千互联网企业的中国梦-0-
最后,各大厂商、平台抱好你们的APP了,皂友们要来啦!
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/53684.html
shell相关文章
- 数字藏品平台象寻前员工发官微祝公司早日倒闭:领导要求 20 天内开发出新 App,还辱骂下属
- 跨平台移动APP开发进阶(三):hbuilder+mui mobile app 开发心酸路
- 浅析App安全架构之前端安全防护
- uptimerobot服务监控、通知 & 手机APP监控
- App Cleaner & Uninstaller for Mac(应用程序清理卸载工具)7.8.3中文版
- uni-app 安卓APP开发记录
- Flutter 多引擎渲染,在稿定 App 的实践
- java基于springboot的新生报到系统app源码
- 微信支付id出现的重复支付解决方法和app应用中多种支付方式之间的对比详解手机开发
- 什么,YouTube, App这些英文你都读错了
- APP构建MySQL数据库无缝连接(app连接mysql)
- APP访问MySQL从零开始(app 访问mysql)
- App 搭配 MySQL一场创新型移动数据处理之旅(app能不能用MySQL)
- App注册MySQL一分钟构建安全的数据库(app 注册 mysql)
- App中数据库优势之MySQL(app数据库mysql)
- App应用提交到MySQL中的实践与探索(app提交mysql)
- Oracle中APP的强力删除(oracle中app删除)
- Oracle App驱动的路径探索之旅(oracle app目录)
- 天风证券与AI公司达成合作,NLP、KG技术革新高材生App