APP漏洞安全检测是深圳市爱内测科技有限公司(www.ineice.com)推出的云服务,针对移动应用行业可能出现的安全风险而推出的专业移动应用安全检测云服务平台,该平台将为移动应用APP提供多方位全面体检,并为移动应用开发商提供专业的安全加固数据依据。
爱内测针对APP提供标准和定制两种安全检测服务,不同的安全检测服务提供不同深度的安全漏洞报告和建议,通过报告可以发现APP漏洞,根据建议修复,避免安全问题。
一、标准检测解析
产品的标准检测作为免费版本,提供Android组件检测、权限管理、dex保护、数据安全检测,以及对危险调试信息等20项常见的漏洞风险等进行检测,并支持一键生成安全检测报告,为您的应用提供基本的安全体检。
二、定制检测解析
产品的定制检测作为收费版本,提供出标准检测以外更全面更专业的安全检测功能,该版本将从应用安全、源码安全及数据安全方面对用户管理、版本升级、界面劫持、动态调试、进程保护、程序完整性、数据储存、数据传输等角度对移动应用做更全面的检测,涉及100多项检测项,自动检测与人工分析相结合为您的移动应用APP提供更全面的安全体检。
三、检测方法解析
根据安全检测平台的规划,平台将采用静态、动态方式对应用程序进行分析,并最终将分析结果存入数据库,并实现一键生成报告的功能。
1. 将App包上传平台后,会通过数据库的黑白名单进行检测,检测该应用是否做过检测,如果已经做过检测,则直接反馈检测结果,如未做过检测,则继续下面操作。
2. 判断App包是否做过加密,如果已做相关加密,会通过加密方式获取加密厂商,从数据库里调取此加密厂商加密后的应用可能存在的风险,给予相关的检测数据,反馈结果。
3. 如若未曾加密,则通过对应用解压缩、反编译等处理,同时采用静态、动态方式对App进行应用安全性检测、源码安全性检测、数据安全性检测等。
4. 将检测结果存入数据库。
5. 生成安全检测报告,同时将该检测信息(黑白名单)更新入数据库。
6. 反馈检测结果。
静态分析: 利用apktool、dex2jar、jd-gui、smali2dex等静态分析工具对应用进行反编译,并对反编译后的java文件、xml文件等文件静态扫描分析,通过关键词搜索等静态方式将具有安全隐患的代码进行摘录并存入到检测平台后台,为后续的安全检测报告提供数据依据
动态分析:对应用软件安装、运行过程的行为监测和分析。检测的方式包括沙箱模型和虚拟机方式。虚拟机方式通过建立与Android手机终端软件运行环境几乎一样的虚拟执行环境,手机应用软件在其中独立运行,从外界观察应用程序的执行过程和动态,进而记录应用程序可能表现出来的恶意行为。
人工检测: 专业安全人员对待检测应用,对其进行安装、运行和试用,通过在试用过程中,逐步掌握应用的特点,并通过专业经验,来圈定检测重点。人工专业检测在涵盖基础检测和深度检测的全部检测项的同时,兼顾侧重点检测,给予应用更全面、更专业、更贴合应用的量身打造的检测服务。
6519
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
