小谈移动APP安全- zzR.PDF

  1. 1、本文档共3页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
小谈移动APP安全- zzR

原原文文地地址址:/tips/749 0x00 背背景景 随着移动互联的扩张,移动APP承载了更多企业的终端梦。“用户手机 装APP 以后,企业即埋下一颗种子,可持续与 用户保持联系。” 种子是种下了,可要是它本身就是个[特洛伊木马]呢?试想你在某某知名APP平台下载 装一款知名 APP,深更半夜突然响起了[THE PHANTOM OF THE OPERA]那会是怎样的一种情景! 通过这近一个月来的观察和实验,斗胆在这里简单介绍一下手机移动APP 全测试方法、工具和一些容易产生 全问 题的点。 (此处仅就IOS版本APP进行说明) 0x01 细细节节 1.工具:PC、手机;软件:burpsuite/fi ler、sqlmap等 2.代理设置:首先将你的PC和手机置于同一局域网,在PC上打开burpsuite ,proxy选项proxy-listeners new/e it一下吧 在下拉列表中能够找到PC本机IP,同时可以自定义端口,此处设置了8088。 手机端,连接WIFI后,网络属性设置代理,写上上图IP地址和端口号 此时您的PC端burpsuite就设置完成。 3.接下来就是找到你感兴趣的APP对他们进行友情测试了。测试过程中,有几个 全点我在之前提交的报告中也都提 到了,WEB端存在的问题在移动端同样存在 (小伙伴们可针对OWASP TOP 10有针对性进行测试,其他此处不尽详 表),只是现在WEB前端重兵把守,兵强马壮,而移动端尚未得到足够的重视,相对薄弱,应者那句世界名言,我们 何不找找小道前行? 说的这里,提几个比较具有代表性 (易发现易批量应用,对隐私数据影响大)的 全关注点: 由于缺乏对移动端 全防护,并且未对APP客户端用户数据做过滤导致SQL注入等一系列问题 (跨站/CSRF什么 的那就不说了) WooYun: 乐视网App端Sql注入Num 1 模糊的用户权鉴往往造成各式各样的越权操作,用户隐私数据得不到 全保障;不 全的数据传输过程,敏感数据篡 改 (登陆、支付) WooYun: 乐视网2200万用户任意用户登录 WooYun: 中粮我买网APP越权操作缺陷04 (删除/修改任意用户信息) 应用设计存在逻辑缺陷导致的跨界 WooYun: 百度某应用设计缺陷可直接浏览企业内部关键系统甚至渗透 移动云端系统载体自身存在缺陷,导致服务器沦陷。如app云端存在远程命令执行漏洞、任意文件上传getshell等 WooYun: 凡客某站远程命令执行 移动 全平台、推广平台存在 全缺陷导致海量APP可被操纵,恶意APP侵害移动用户。 WooYun: 乐视网某主站站控制不严可传播恶意app感染手机端 WooYun: 联想1#某站权限控制不严导致预装恶意App流毒 以上方法针对少量APP测试还是挺实用的,这个月测试下来,就如一位皂友所说,发现这些问题是比较繁琐,但是出 现的问题概率比较大。所以问题还是挺好找的。当我孜孜不倦升级的时候@xsser 给俺一个非常不错的建议用于批量检 测:在本地搭建http代理记录APP访问日志,然后sqlmap批量扫这些去重的日志!很赞! 0x02 总总结结 各厂商在APP程序开发的过程中严格执行开发 全处置流程同时将WEB应用防线扩至移动端! 各APP应用、推广平台加强自身 全防范,升级 全基线,确保平台之 全可靠,要知道,你们可承载着万千互联网 企业的中国梦-0- 最后,各大厂商、平台抱好你们的APP了,皂友们要来啦!

文档评论(0)

2105194781 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档