手机移动APP安全测试方法、工具和一些容易产生安全问题

0x00 背景

随着移动互联的扩张，移动APP承载了更多企业的终端梦。“用户手机安装APP以后，企业即埋下一颗种子，可持续与用户保持联系。”  种子是种下了，可要是它本身就是个[特洛伊***]呢?试想你在某某知名APP平台下载安装一款知名APP，深更半夜突然响起了[THE PHANTOM OF THE OPERA]那会是怎样的一种情景！

通过这近一个月来的观察和实验，斗胆在这里简单介绍一下手机移动APP安全测试方法、工具和一些容易产生安全问题的点。（此处仅就IOS版本APP进行说明）

0x01 细节

1.工具：PC、手机；软件：burpsuite/fiddler、sqlmap等

2.代理设置：首先将你的PC和手机置于同一局域网，在PC上打开burpsuite ，proxy选项proxy-listeners

new/edit一下吧

在下拉列表中能够找到PC本机IP，同时可以自定义端口，此处设置了8088。

手机端，连接WIFI后，网络属性设置代理，写上上图IP地址和端口号

此时您的PC端burpsuite就设置完成。

3.接下来就是找到你感兴趣的APP对他们进行友情测试了。测试过程中，有几个安全点我在之前提交的报告中也都提到了，WEB端存在的问题在移动端同样存在（小伙伴们可针对OWASP TOP 10有针对性进行测试，其他此处不尽详表），只是现在WEB前端重兵把守，兵强马壮，而移动端尚未得到足够的重视，相对薄弱，应者那句世界名言，我们何不找找小道前行？

说的这里，提几个比较具有代表性（易发现易批量应用，对隐私数据影响大）的安全关注点：

由于缺乏对移动端安全防护，并且未对APP客户端用户数据做过滤导致SQL注入等一系列问题（跨站／ＣＳＲＦ什么的那就不说了）

模糊的用户权鉴往往造成各式各样的越权操作，用户隐私数据得不到安全保障；不安全的数据传输过程，敏感数据篡改（登陆、支付）

应用设计存在逻辑缺陷导致的跨界

移动云端系统载体自身存在缺陷，导致服务器沦陷。如app云端存在远程命令执行漏洞、任意文件上传getshell等

移动安全平台、推广平台存在安全缺陷导致海量APP可被操纵，恶意APP侵害移动用户。

以上方法针对少量APP测试还是挺实用的，这个月测试下来，就如一位皂友所说，发现这些问题是比较繁琐，但是出现的问题概率比较大。所以问题还是挺好找的。当我孜孜不倦升级的时候@xsser 给俺一个非常不错的建议用于批量检测：在本地搭建http代理记录APP访问日志，然后sqlmap批量扫这些去重的日志！很赞！

0x02 总结

各厂商在APP程序开发的过程中严格执行开发安全处置流程同时将WEB应用防线扩至移动端！

各APP应用、推广平台加强自身安全防范，升级安全基线，确保平台之安全可靠，要知道，你们可承载着万千互联网企业的中国梦-0-
最后，各大厂商、平台抱好你们的APP了，皂友们要来啦

原文链接：http://www.2cto.com/Article/201311/259983.html