移动安全分享.pptVIP

- 阿里安全 12:22 微应用测试分享 渗透环境搭建和渗透思路 渗透环境搭建----Burpsuit抓包ios，andriod手机 二.证书导出 一.代理链接 渗透环境搭建----Burpsuit抓包ios，andriod手机 四.测试演示 三.加载证书 渗透思路 –常见问题 1.重置密码，验证码绕过，更改响应返回的数据包为正确响应； 2.更改uid数据包，可以水平权限 3.直接修改本地的文件的用户名密码，手机默认读取db登陆； 4.密码找回验证，在最后一步更改密码时候，替换手机号 5.当数字验证码没有输错次数限制，会导致暴力破解 6.短信验证码在数据包中返回 7.app关闭再重新打开，用户名和密码发送到服务端 8.语音短信验证，抓包后，不断发包，就会语音电话不断，要做好间隔次数限制 9.任意用户册中,发送注册请求后直接返回了验证码值 10.在最后完成时，将号码改为任意手机号 渗透思路 – 微应用安全测试checklist 1.重要id参数是否可遍历化（ID＝42007 下个42008，id与信息返回重要权限等相关） 2.微应用登陆注册密码找回是否验证码，密码输错次数，验证码输错是否有业务惩罚（禁止15分钟，下次验证码更新），密码策略（字母＋数字），登录口被撞库接口大量被调用，服务端对单一ip或设备是否有接口访问限制； 3.所有输入口字符长度限制由服务端完成而非前端限制； 4.输入输出口是否存在xss；（输入口验证dom型xss，输出口验证反射型和存储型，测试验证需使用ios手机） 5.代码有无sql注入过滤；h5输入点可以验证 6.信息是否泄露（前端信息展示与服务端接口提供信息是否一致） 7.短信轰炸，是否可以连续请求接口，发送短信给指定用户；（比如注册，密码找回，短信验证） 8.水平权限，A用户是否可以查看B用户的接口信息； 9.垂直权限，A用户是否可以通过更改接口id参数，看到自己权限范围外的信息； 10. 参数更改（比如更改进度等参数，会不会导致crash） 11.企业服务端敏感日志排查，是否脱敏； 12. url跳转，需要白名单 13.其它，参见owaps top 10常见web漏洞； 微应用安全测试checklist －id参数可遍历化 微应用安全测试checklist －密码验证码次数 微应用安全测试checklist －短信轰炸 微应用安全测试checklist －长度校验 微应用安全测试checklist －xss测试 微应用安全测试checklist –SQL注入 微应用安全测试checklist －信息泄露 微应用安全测试checklist －水平和垂直权限 微应用安全测试checklist －参数更改 微应用安全测试checklist －日志排查 微应用安全测试checklist －url跳转 微应用安全测试checklist －jsonp 谢谢大家~ * * * *