app和web渗透测试的区别
1.渗透测试
在取得客户授权的情况下,利用模拟黑客攻击的方式,来评估计算机网络系统安全性能的方法。
渗透测试会涉及的三个点:客户端、协议、服务器。
web渗透测试的特点:1.涉及的点:服务端和协议,渗透的对象的业务接口。
2.业务接口常见漏洞有跨站脚本攻击,SQL注入,身份认证和会话管理 缺陷,访问控制缺陷,业务逻辑设计缺陷,信息泄露等
3.无需逆向就可以渗透;JS代码混淆,遇到加密可以直接调用js代码;采用B/S架构。
app渗透测试的特点:1.涉及点:客户端,协议,服务端。
2.应用自身常见的漏洞二进制代码,客户端数据,存储跨进程交互(Android),加密算法及密码等方面的漏洞,业务接口常见漏洞有跨站脚本攻击,SQL注入,身份认证和会话管理缺陷,访问控制缺陷,业务逻辑设计缺陷,信息泄露等
3.需要对APP逆向;客户端安全有加强,有复杂的防御机制,如加固,代码混淆,密钥白盒等;遇到加密算法,环境检测等需要自行写hook脚本进行解密和绕过;采用C/S架构。
共同点:1.有相同的漏洞,比如跨站脚本攻击,SQL注入,身份认证和会话管理缺陷等。
2.都需要与服务端进行通讯,并且对接口进行渗透测试。
测试的方案和流程: