文章目录
- 前言
-
- 一、API完整性
- 二、用户凭证完整性
- 三、API通道完整性
- 四、设备完整性
前言
当网络犯罪分子认为新的攻击媒介在经济上可行时,他们会瞄准新的攻击媒介,尤其是在没有强有力的安全措施的情况下。攻击面向未经授权的移动应用程序后端服务转移。网络犯罪分子通过扫描目标应用程序功能列表来获取访问权限,同时收集API密钥或业务逻辑来设计程序化攻击。
因此,移动端应用安全频频出现问题,那么常见的针对移动端的五种入侵途径有哪些呢?
一、API完整性
API访问可靠性对于移动应用程序至关重要。当黑客攻击移动应用程序的完整性时,以下这三件事是其必做的:
1.获取身份密钥:例如API密钥,如果获取具有过多权限的API密钥,则有可能导致账户接管或劫持
2.信息提取:黑客试图从应用程序中提取可用于黑客攻击的信息,例如访问令牌或其他信息
3.将应用程序转变为攻击工具:黑客通过注入恶意代码将应用程序转变为攻击工具
为了保护其应用程序的完整性,开发人员应确定来自各种来源的请求是否有效。
二、用户凭证完整性
攻击者通常会针对用户凭据,这通常是应用程序的最高安全级别。此外,网络犯罪分子将试图通过使用社工手段、利用应用程序逻辑和安全漏洞中的设计和逻辑缺陷来窃取敏感信息。
开发人员可以采取一些措施来降低他们的应用程序受到网络攻击的影响。其一是在应用程序中为用户添加一层身份验证,另一种是在安装或升级过程中使用凭据更新您的应用程序。因为它依赖于授权令牌而不是用户名和密码等静态凭据。
三、API通道完整性
API通道完整性是帮助API 连接安全的一种方法。不幸的是,破坏通道完整性的最常见方法是通过公共 WiFi连接公开 API 和移动应用程序之间的通信通道。虽然开发人员可以实施 TSL/SSL 协议来缓解攻击,但老练的攻击者使用中间件(MITM) 攻击工具来设置虚拟服务器来窃取信息并读取 API 服务。
MITM 攻击可以通过针对特定的面向智能手机的网站来实现。在这些情况下,黑客的主要目标是假冒 API 服务器并诱骗客户端相信他们正在相互通信。然而,现实是黑客拦截了两端的通信并窃取信息。
攻击者感兴趣的渠道场所包括:
- 正在使用的 API 协议。这允许攻击者提取代码并模拟真实流量。
- 通过安装攻击以插入脚本以使服务器相信通信来自真正的客户端交互,从而获取 API 密钥。
- 提取用户的凭据并将它们嵌入到服务器将识别为来自可信来源的脚本中。
- 通过篡改请求的行动过程,通过 API 进行的交易可以被网络犯罪分子操纵,以不同于最初请求的方式进行。
- 网络犯罪分子使用各种策略侵入个人系统。一个例子是暴露 API 漏洞并访问特定人员无法访问的信息。
考虑以下方法来保护您的使用APP的完整性:
- 安装 WEP 安全机制以保护您的无线连接免受附近未经授权的用户的影响。
- 更改路由器的默认密码。如果网络犯罪分子拥有 WiFi信号或 VPN 提供商的登录凭据,他们可能会被重定向,因此需要不断更新路由器上的 WiFi密码并关闭对家中的远程访问。
- 使用 VPN 来保护您的流量。当您在局域网内时,请使用虚拟专用网络来防止公共internet上的攻击者访问您的流量。
四、设备完整性
设备完整性,这就是与我们平时所提到的手机漏洞相关。利用应用程序或设备中的各种漏洞来攻击敏感信息和数据,这是最常用的移动攻击面之一。黑客可能会试图通过篡改设备或远程更改应用程序数据来绕过此安全措施。当然,也有可能直接在设备上安装恶意应用程序。
用于绕过设备安全性的一种常用技术是植入或越狱。另一种方法是代码篡改,即将恶意代码植入应用程序,使用代码篡改来隐藏合法应用程序中的恶意软件。
—END—
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以V扫描下方二维码联系领取~
1️⃣零基础入门
学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
需要详细路线图的,下面获取
路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
2️⃣视频配套工具&国内外网安书籍、文档
工具
######视频
书籍
资源较为敏感,未展示全面,需要的下面获取
### 3️⃣Python面试集锦
面试资料
简历模板
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
------ 🙇♂️ 本文转自网络,如有侵权,请联系删除 🙇♂️ ------