APP 安全测试(OWASP Mobile Top 10)--后篇之三

最新推荐文章于 2022-05-03 10:00:18 发布
最新推荐文章于 2022-05-03 10:00:18 发布
阅读量1.5k 收藏 10
点赞数 3
分类专栏: App 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37268841/article/details/104740837
版权

接续:APP 安全测试(OWASP Mobile Top 10)--后篇之二

M7- 客户端代码质量

测试点:

  • 将不受信任的输入传递给移动代码中的方法调用的实体
  • Activity组件本地拒绝服务
  • Activity劫持
  • Activity组件绕过
  • Broadcast Receiver组件本地拒绝服务
  • Broadcast盗窃
  • 恶意Broadcast注入
  • Content Provider组件本地拒绝服务
  • Service组件本地拒绝服务
  • Service劫持
  • 恶意Activity/Service调用
  • Symbols Remnant
  • 弱Check-sum控制/改变检查
  • Unix domain sockets的不安全权限
  • 不安全网络sockets的使用
  • 本地数据文件存储安全
  • 调试信息是否关闭
  • 第三方SDK安全性检测
  • 留存的测试组件或信息
  • 代码中不当的异常处理
  • 保留的内网地址信息
  • 数字签名检测

测试内容:

   1. 上篇已经说明

   2. 该篇介绍蓝色部分

   3. 其他

 测试方法:我这边主要的测试方法,看源码,源码查找。

  • Unix domain sockets的不安全权限
  • 不安全网络sockets的使用

1. 反编译,查找代码中有无Socket相关的SDK。

  

2. 代理拦截查看有没有走socket。使用的是Burpsuite,具体应用网上应该有相应的说明

Http请求:

socket:

 注意,可以看到上面socket是空的。

  •  Symbols Remnant
  • 调试信息是否关闭
  • 第三方SDK安全性检测
  • 留存的测试组件或信息
  • 代码中不当的异常处理
  • 保留的内网地址信息

这几块都是涉及纯粹的源码查找:

1. Symbols Remnant:

2. 留存的测试组件或信息

代码中查找一些特殊的开发留着源码中的特殊字符,测试组件,调试日志,打印日志,注释代码

3.调试信息是否关闭:

Debug = "false"设定,这里不仅要注意自身SDK的调试状态,还要注意第三方的SDK的调试状态。

4. 代码中不当的异常处理

代码查找error的处理,例如下面finally的处理位置放错了:

5. 保留的内网地址信息

测试前可先知道公司内网的ip段:如172.123.*.*,然后源码查找。

6. 第三方SDK安全性检测:1. Debug的状态。2,SDK是不是冗余的,这块我是跟负责打包的开发每个sdk进行确认的。

其他:

7. 弱Check-sum控制/改变检查:这块可以放在应用完整性模块来测,后续再说。

8. 本地数据文件存储安全:这块因为root机的原因logcat命令一直报错。但之前这方面做过。

可先参考:https://blog.csdn.net/m0_37268841/article/details/95617015

但这块logcat的测试点有两部分:log中的敏感信息泄露,像手势密码这种敏感信息是不是存储再log中。用户名/密码,身份证号码等有没有存储。

.9. 数字签名检测:

签名证书虽然有警告,但整体来说应该是验证通过。

M8- 代码篡改

测试点:

  1. 修改代码
  2. 修改资源
  3. 修改API

测试前提:代码没有加固,没有混肴,当然有大神比较厉害可能这些不需要也能搞。。。

测试工具:我个人使用的是Bytecode-Viewe,这款是反编译后在线修改代码打包一起的工具。

网上有这个工具下载,用法很简单如下:

C:\tools>java -jar Bytecode-Viewer-2.9.22.jar
https://the.bytecode.club - Created by @Konloch - Bytecode Viewer 2.9.22, Fat-Jar: true
Start up took 1 seconds
java.net.SocketException: Connection reset
        at java.net.SocketInputStream.read(Unknown Source)
        at java.net.SocketInputStream.read(Unknown Source)
        at sun.security.ssl.InputRecord.readFully(Unknown Source)
        at sun.security.ssl.InputRecord.read(Unknown Source)
        at sun.security.ssl.SSLSocketImpl.readRecord(Unknown Source)
        at sun.security.ssl.SSLSocketImpl.waitForClose(Unknown Source)
        at sun.security.ssl.HandshakeOutStream.flush(Unknown Source)
        at sun.security.ssl.Handshaker.kickstart(Unknown Source)
        at sun.security.ssl.SSLSocketImpl.kickstartHandshake(Unknown Source)
        at sun.security.ssl.SSLSocketImpl.performInitialHandshake(Unknown Source)
        at sun.security.ssl.SSLSocketImpl.startHandshake(Unknown Source)
        at sun.security.ssl.SSLSocketImpl.startHandshake(Unknown Source)
        at sun.net.www.protocol.https.HttpsClient.afterConnect(Unknown Source)
        at sun.net.www.protocol.https.AbstractDelegateHttpsURLCon

打开后,直接将apk拖进主窗口后界面:

左边是反编译后的包,右边是代码,可编辑

这边的不管是修改代码,修改资源还是API可根据需求进行修改后,进一步操作可参考:

注:如果代码中有混肴的话,存在编译不过的现象。

重新打包后,需要将修改后的apk装到手机里面进行验证,看是否能运行。

待续:APP 安全测试(OWASP Mobile Top 10)--后篇之四

 

 

 

一杯咖啡的时间
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OWASP Mobile Top 10 -2016
10-04
本文档系统地分类了 android应用app的一系列风险漏洞问题,并且很有指导性。此外该文档对app应用的风险漏洞的归类和分析都很到位。
Mobile-top-10
03-29
欢迎来到OWASP Mobile Top 10 2016 OWASP Mobile 2016十佳列表: 此类别涵盖滥用平台功能或无法使用平台安全控件。 它可能包括Android意图,平台权限,对TouchID,钥匙串的误用或作为移动操作系统一部分的其他安全控件。 移动应用程序可以通过几种方式来承受这种风险。 这个新类别是2014年《移动十佳》中的M2 + M4的组合。这涵盖了不安全的数据存储和意外的数据泄漏。 这包括较差的握手,错误的SSL版本,较弱的协商,敏感资产的明文通信等。 该类别捕获了验证最终用户或不良会话管理的概念。 这可以包括: 根本没有在需要时识别用户 需要时无法维护用户身份 会话管理中的弱点 该代码将加密技术应用于敏感信息资产。 但是,加密在某种程度上是不足的。 请注意,与TLS或SSL相关的所有内容都在M3中。 另外,如果该应用程序在应有的时间根本不使用加密
2016 OWASP Mobile TOP 10 中文版
不光要学,知识要能说出口
02-09 6409
M1-平台使用不当这个类别包括平台功能的滥用,或未能使用平台的安全控制。它可能包括 Android 的意图( intent)、 平台权限、 TouchID 的误用、 密钥链 ( KeyChain)、或是移动操作系统中的其他一些安全控制。有几种方式使移动应 用程序能受到这类风险。M2-不安全的数据存储这个新的类别是《 2014 年版十大移动安全威胁》中 M2 和 M4 的组合。这个类别 包括不
APP 安全测试OWASP Mobile Top 10)--后篇之一
一杯咖啡的渗透记忆
03-08 2415
OWASP Mobile Top 10 相对于Web的OWASP Top 10来说,个人觉得描述的相对简单多,并且安全测试的时候的可操作性也不是太强。本来打算个人整体捋一遍的,但因为项目时间的问题,前面四个章节安排给了别人去负责,我只负责后面的六章(所以标题写了后篇)。下面我把个人的测试方法简单叙述一下。下面可能有些测试点不全或者有瑕疵,欢迎纠错。。。。 OWASP M...
APP 安全测试OWASP Mobile Top 10)--后篇之二
一杯咖啡的渗透记忆
03-08 2155
接续:APP 安全测试OWASP Mobile Top 10)--后篇之一
APP 安全测试OWASP Mobile Top 10)–后篇之二
01-03
接续:APP 安全测试OWASP Mobile Top 10)–后篇之一 M7- 客户端代码质量 测试点: 将不受信任的输入传递给移动代码中的方法调用的实体 Activity组件本地拒绝服务 Activity劫持 Activity组件绕过 Broadcast Receiver组件本地拒绝服务 Broadcast盗窃 恶意Broadcast注入 Content Provider组件本地拒绝服务 Service组件本地拒绝服务 Service劫持 恶意Activity/Service调用 Symbols Remnant 弱Check-sum控制/改变检查 Unix do
OWASP移动审计 - Android APK 恶意软件分析应用程序
晓川吖的专栏
09-10 827
MobileAudit- 针对 Android 移动 APK 的 SAST 和恶意软件分析 Mobile Audit 不仅关注安全测试和防御用例,该项目的目标是成为 Android APK 的完整认证,其中包括: 静态分析 (SAST):它将执行 APK 的完整反编译并提取它的所有可能信息。它报告了按不同类别分组的源代码中的不同漏洞和发现。此外,它完全支持查找分类(更改状态和重要性)。 恶意软件分析:发现危险权限和可疑代码。 安全 Android 编码的最佳实践:告诉开发人员他们在代码的哪些部分进.
APP 安全测试OWASP Mobile Top 10)--后篇之四
一杯咖啡的渗透记忆
03-08 2005
接续:APP 安全测试OWASP Mobile Top 10)--后篇之三
安全测试----OWASP top 10 简介
redrose2100的博客
05-03 1228
【原文链接】 一、OWASP Top 10 简介 1.1 OWASP简介 OWASP,开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个非营利组织,不附属于任何企业或财团,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。 1.2 OWASP Top 10简介 OWASP Top 10就是“十大安全漏洞列表”,目前被许多漏洞奖励平台和企业安全团队评估错误报告。这个列表总
OWASP-TOP10-2021 最新中文版V1.0.pdf
12-26
OWASP-TOP10-2021中文版V1.0.pdf
terraform-aws-waf-owasp-top-10-rules:一个Terraform模块,用于为OWASP创建AWF WAF规则十大安全风险防护
02-04
terraform-aws-waf-owasp-top-10-rules:一个Terraform模块,用于为OWASP创建AWF WAF规则十大安全风险防护
OWASP-TOP10-2021中文版V1.0
01-28
OWASP-TOP10-2021中文版V1.0
新建文本文档.txt
05-31
新建文本文档
开源Git gui工具Fork
05-31
开源Git gui工具Fork,CSDN能找到教程,但是资料不多,推荐用Tortoise
yolov5在华为昇腾atlas上加速推理
05-31
该资源为yolov5在华为昇腾atlas上使用Ascend310芯片加速推理,属于c++后端开发,适合C++开发者在华为昇腾盒子上移植深度学习算法的博主们。 资源是demo形式,包含完整的一套代码,还有转好的离线模型文件和跑出的测试结果图片。
C++ 实现贪吃蛇小游戏
05-31
C++贪吃蛇小游戏简介 内容概要 C++贪吃蛇小游戏是一款经典的2D游戏,它利用C++编程语言结合基本的图形库(如NCurses库或SDL库)实现。游戏的核心玩法包括控制贪吃蛇在封闭的场地内移动,通过吃掉随机出现的食物来增长身体长度,同时避免碰到场地边界或自己的身体,否则游戏结束。游戏界面简洁直观,通过键盘控制贪吃蛇的方向,提供流畅的游戏体验。 适用人群 C++贪吃蛇小游戏适用于广泛的人群,特别是: C++编程学习者:对于正在学习C++编程的学生或爱好者,这款小游戏是一个很好的实践项目。通过实现游戏,可以加深对C++语法、数据结构、面向对象编程等知识点的理解和应用。 使用场景及目标 C++贪吃蛇小游戏可以在以下场景中使用,并达到以下目标: 编程教学实践:在编程教学课堂上,教师可以使用该游戏作为案例,引导学生完成项目的开发。通过实践,学生可以更好地掌握C++编程技能,并将理论知识应用于实际项目中。 个人项目实践:对于个人学习者,实现贪吃蛇小游戏可以作为自我挑战和实践的机会。通过独立完成项目,可以提升自己的编程能力和解决问题的能力。
ec616DataSheet
05-31
移芯NBIOT 芯片,NB芯片,水表电表芯片,烟感 地磁芯片 超弱信号环境业务能力。
预测结果.xlsx
最新发布
05-31
预测结果
owasp-top10-2021 最新中文版v1.0.pdf下载
06-24
OWASP Top 10OWASP的核心项目之一,着重于列举当前网络应用程序中最常见的十种安全风险,以提高开发人员、安全测试人员和安全专家的安全意识。最新的OWASP Top 10列表是2021年版,这个版本于2021年6月发布。相比于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值