


移动互联网时代,我们的生活、工作、娱乐等都越来越离不开各式各样的App。据了解,全球移动用户数量大约超过37亿。Google Play 上大约有220万个App,苹果App Store上大约有20亿多个App。同时,根据Flurry 统计数据表明,现在,每个人每天会在移动设备上花费近5个小时的时间。




越权漏洞
检测是否存在查看、编辑用户资料等越权操作,比如普通用户是否可以使用管理员权限去查看任意用户的资料,包括手机号,银行卡等重要信息,越权修改其他账号的头像。
文件上传漏洞
检测头像,留言反馈等可以上传图片的功能里是否存在绕过文件格式校验,上传PHP,JAVA,JSP,WAR等脚本木马文件到App目录里。
短信盗刷漏洞
检测在注册,设置密码,找回密码,修改银行卡等重要操作的时候获取手机短信验证码的功能里是否存在短信多次发送,重复发送,1分钟不限制发送次数的漏洞。
SQL注入漏洞
检测在登录,充值,修改银行卡,提交留言反馈,购买,提现等功能里是否存在将恶意的SQL注入代码植入到APP里,并发送到后端数据库服务器进行查询,写入,删除等SQL操作。
敏感信息泄露漏洞
有些App未对提交返回的内容进行加密,导致返回的数据中包含了用户的信息,包括账号,密码等都是明文显示,通过修改ID值可以任意的查看到其他用户的信息。
XSS跨站漏洞
检测意见反馈,头像上传地址功能里是否可以插入XSS跨站代码,导致后台管理员查看留言的时候可以触发XSS跨站攻击,导致后台的登录地址, Cookies等被攻击者获取到。
弱口令漏洞
检测服务器的Root账号密码,以及Redis密码,后台管理员账号密码是否可能存在弱密码。


高 严重性
查找具有最大影响和最容易执行的漏洞,包括跨站点脚本编写,SQL注入和路径遍历等。中 严重性
查找在执行过程中影响较小或更高难度的漏洞,包括跨站点请求伪造,HTTP响应拆分和蛮力攻击等。低 严重性
查找可能收集信息或泄漏信息,例如路径披露,目录列表或信用卡模式等。

步骤壹
打开IBM Rational AppScan,选择手动探索-外部设备。
步骤贰
在弹出的对话框页面点击右上角的“记录代理配置”。
步骤叁
在弹出的页面选择“记录代理”,设置代理端口。
步骤肆
端口设置完毕后,打开手机WiFi设置页面进行代理设置,将代理IP设置为电脑IP,将端口设置为IBM Rational AppScan上面设置的代理端口。步骤伍
手机代理设置完毕后,在IBM Rational AppScan代理设置页面会收到传入连接提示,点击“允许”会自动把手机IP加入白名单。
我们也可以手动点击外部连接选择接收白名单,然后点击下方的“+”号将手机的IP加入白名单。

步骤陆
尽量清理手机后台,尽量在局域网进行(减少一些杂包影响),然后开始运行鲸钱包App。 如果能在IBM Rational AppScan记录页面看到流量包,即为代理设置成功,接下来就是尽量点击到每一个菜单(最好有增删改过程)。 点击完毕后,剩下的操作就是导入抓取到的流量包,然后点击扫描/继续仅测试即可。
步骤柒
扫描完成后,会根据不同严重级别显示所有可能存在的漏洞,并提出一些改进建议等。
步骤捌
可以根据需要,生成PDF测试报告。至此,本轮鲸钱包App的安全测试之旅愉快结束啦~~

友情提示

燕子来时春社
01
进行该扫描请保证系统性能良好,因为扫描过程中会向服务器发送几十万甚至上百万的请求,如果服务器性能较差可能会宕机。02
小网站不建议选择自动扫描,因为自动扫描可能会因为系统页面的耦合性关系导致爬虫找不到一些页面,所以建议采用手动探索后继续仅测试,大网站建议采用完全自动扫描。结语
总之,安全测试也不是绝对的,只能是尽全力把安全测试做到最大化。 只有真正了解自己的 App ,以及存在的漏洞,才能把安全测试做好,做到极致。

END
