APP渗透测试方案.docx

1、APP 渗透测试方案2016-7-29XXXXX 公司广东省广州市 XXXXX 地址目录1 App 渗透简介22 APP 渗透测试所用工具22.1 代理抓包工具22.2 反编译工具22.3 其他针对服务端的 web 渗透工具33 APP 渗透测试的方法43.1 数据包分析、测试43.2 APP 反编译还原代码44 APP 渗透测试流程44.1 项目启动44.1.1 项目启动准备44.1.2 实施方案制定44.2 项目实施54.2.1 信息收集54.2.2 平台使用不当的测试54.2.3 不安全的数据存储的测试54.2.4 不安全的通信的测试54.2.5 不安全的身份验证的测试64.2.6 加密

2、不足的测试64.2.7 不安全的授权的测试64.2.8 客户端代码质量问题的测试64.2.9 代码篡改的测试64.3 项目收尾64.3.1 报告编写64.3.2 问题复查771 App 渗透简介移动 app 大多通过 webapi 服务的方式跟服务端交互，这种模式把移动安全跟 web 安全绑在一起。移动 app 以 web 服务的方式跟服务端交互，服务器端也是一个展示信息的网站，常见的 web 漏洞在这也存在,比如说 SQL 注入、文件上传、中间件/server 漏洞等。2 APP 渗透测试所用工具2.1 代理抓包工具 Burpsuit Fiddler代理抓包工具主要用于抓取、分析、篡改 AP

3、P 与服务端之间的交互数据包。爆破、解编码、执行会话令牌等作用。2.2 反编译工具APP 的反编译有两种反编译方式，dex2jar 和 apktool，两个工具反编译的效果是不一样的，dex2jar 反编译出 java 源代码，apktool 反编译出来的是 java 汇编代码。 工具 1：dex2jar+jdgui 工具 2：apktool工具 1 反编译出来的是 java 源代码，易读性比较高。工具 2 反编译出来的东西为 smali 反汇编代码、res 资源文件、assets 配置文件、lib 库文件，我们可以直接搜索 smali 文件和资源文件来查找链接等。2.3 其他针对服务端的 w

4、eb 渗透工具 NMAPNmap 是一款网络扫描和主机检测的非常有用的工具。Nmap 是不局限于仅仅收集信息和枚举，同时可以用来作为一个漏洞探测器或安全扫描器。它可以适用于 winodws,linux,mac 等操作系统。Nmap 是一款非常强大的实用工具,可用于：检测活在网络上的主机（主机发现）检测主机上开放的端口（端口发现或枚举） 检测到相应的端口（服务发现）的软件和版本检测操作系统，硬件地址，以及软件版本检测脆弱性的漏洞（Nmap 的脚本） SLQMAPSqlmap 是一种开源的渗透测试工具，可以自动检测和利用 SQL 注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种

5、特性的渗透测试器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。支持的数据库：MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MaxDBSQL 注入技术：boolean-based blind, time-based blind, error-based, UNIONquery, stacked queries and out-of-band枚举数据：users, password hashes, privileg

6、es, roles, databases, tables and columns 其他针对 strut2 的漏洞利用脚本 、网站弱电扫描工具、网站目录爆破工具、BeEF 等3 APP 渗透测试的方法3.1 数据包分析、测试利用 burpsuit、fiddler 对 APP 进行抓包分析、篡改。这个方法利用在移动设备上设置代理，通过人工操作使 app 与服务端交互。测试 APP 与服务端的业务流程是否存在漏洞。3.2 APP 反编译还原代码有两种反编译方式，dex2jar 和 apktool，两个工具反编译的效果是不一样的，dex2jar 反编译出 java 源代码，apktool 反编译出来的

7、是 java 汇编代码。从源代码层面上分析 APP 安全性。4 APP 渗透测试流程4.1 项目启动4.1.1 项目启动准备项目启动前为了保障双方利益、使得 APP 渗透项目可以顺利进行需与客户签订项目合同、项目保密协议、项目启动实施协调等前期工作。4.1.2 实施方案制定某某获取到 XXX 的书面授权许可后，才进行渗透测试的实施。并且将实施范围、方法、时间、人员等具体的方案与 XXX 进行交流，并得到 XXX 的认同。在测试实施之前，某某会做到让 XXX 对渗透测试过程和风险的知晓，使随后的正式测试流程都在 XXX 的控制下。4.2 项目实施4.2.1 信息收集 收集目标系统暴露于网络上,不

8、需要额外的授权便可获取到的信息。 专业安全工具扫描、嗅探,对系统的网络和应用程序进行远程漏洞扫描, 并对扫描结果进行分析。 利用社会工程学原理获取目标系统敏感信息。4.2.2 平台使用不当的测试滥用平台功能,没有使用平台安全控制。包括 Android 的 intent,平台权限控制,错误使用 TouchID,秘钥链（KeyChain）、或是移动操作系统中的其他安全控制。4.2.3 不安全的数据存储的测试包括不安全的数据存储和非故意的数据泄漏。包括邮箱、手机号码、身份证信息、QQ、用户密码、等信息。4.2.4 不安全的通信的测试包括不完善的通信握手过程、使用了有漏洞的 SSL版本、不安全的通讯协

9、议、敏感信息的明文传输,等等。4.2.5 不安全的身份验证的测试包括对终端用户不安全的身份验证或不正确的 session 会话管理；需要身份鉴权的时候没有识别用户身份；在一个持续的会话中没有正确的识别用户身份； 会话管理中的漏洞。4.2.6 加密不足的测试对代码使用弱加密技术对敏感信息资产进行加密进行测试发现。4.2.7 不安全的授权的测试包括任何失败的授权行为（例如:在客户端的授权决策、强迫浏览 等。）。它有别于身份验证问题（例如:设备注册、用户标识等）。4.2.8 客户端代码质量问题的测试包括例如缓冲区溢出、字符串格式漏洞以及其他不同类型的代 码级错误,而这些错误的解决方法是重写在移动设备中运行的某些代码。4.2.9 代码篡改的测试包括二进制修补、本地资源修改、方法钩用、方法调整和动态内存修改。4.3 项目收尾4.3.1 报告编写渗透测试报告包括渗透测试整个流程描述,会对发现问题的思路与手法进行必要的说明,并且结合目标系统环境,对安全问题进行风险分析,出具针对性解决方案。4.3.2 问题复查渗透测试完成后，某某协助 XXX 对已发现的安全隐患进行修复。修复完成后，某某渗透测试小组对修复的成果再次进行远程测试复查，对修复的结果进行检验，确保修复结果的有效性。最终完成渗透测试复查报告。