A. 漏洞檢測的幾種方法
漏洞檢測可以分為對已知漏洞的檢測和對未知漏洞的檢測。
已知漏洞的檢測主要是通過安全掃描技術,檢測系統是否存在已公布的安全漏洞;而未知漏洞檢測的目的在於發現軟體系統中可能存在但尚未發現的漏洞。
現有的未知漏洞檢測技術有源代碼掃描、反匯編掃描、環境錯誤注入等。
1、源代碼掃描
源代碼掃描主要針對開放源代碼的程序,通過檢查程序中不符合安全規則的文件結構、命名規則、函數、堆棧指針等,進而發現程序中可能隱含的安全缺陷。
2、反匯編掃描
反匯編掃描對於不公開源代碼的程序來說往往是最有效的發現安全漏洞的辦法。分析反匯編代碼需要有豐富的經驗,也可以使用輔助工具來幫助簡化這個過程,但不可能有一種完全自動的工具來完成這個過程。
3、環境錯誤注入
由程序執行是一個動態過程這個特點,不難看出靜態的代碼掃描是不完備的。環境錯誤注入是一種比較成熟的軟體測試方法,這種方法在協議安全測試等領域中都已經得到了廣泛的應用。
錯誤注入,即在軟體運行的環境中故意注入人為的錯誤,並驗證反應——這是驗證計算機和軟體系統的容錯性、可靠性的一種有效方法。錯誤注入方法就是通過選擇一個適當的錯誤模型試圖觸發程序中包含的安全漏洞。
B. 如何去測試一個 app 是否存在安全問題
身為測試答一個,這類安全性測試,是app專項測試中必須要做的一環,簡單列舉下目前常做的測試類別
1. 用戶隱私
檢查是否在本地保存用戶密碼,無論加密與否
檢查敏感的隱私信息,如聊天記錄、關系鏈、銀行賬號等是否進行加密
檢查是否將系統文件、配置文件明文保存在外部設備上
部分需要存儲到外部設備的信息,需要每次使用前都判斷信息是否被篡改
2. 文件許可權
檢查App所在的目錄,其許可權必須為不允許其他組成員讀寫
3. 網路通訊
檢查敏感信息在網路傳輸中是否做了加密處理,重要數據要採用TLS或者SSL
4. 運行時解釋保護
對於嵌有解釋器的軟體,檢查是否存在XSS、SQL注入漏洞
使用webiew的App,檢查是否存在URL欺騙漏洞
5. Android組件許可權保護
禁止App內部組件被任意第三方程序調用。
若需要供外部調用的組件,應檢查對調用者是否做了簽名限制
6. 升級
檢查是否對升級包的完整性、合法性進行了校驗,避免升級包被劫持
7. 3rd庫
如果使用了第三方庫,需要跟進第三方庫的更新
C. APP的安全漏洞怎麼檢測,有什麼工具可以進行檢測
目前我經常用的漏洞檢測工具主要就是愛內測,因為愛內測會根據應用特性,對程序機密性會採取不同程度不同方式的檢測,檢測項目包括代碼是否混淆,DEX、so庫文件是否保護,程序簽名、許可權管理是否完整等;組件安全檢測主要針對Activity、Broadcast Receiver、Service、WebView、Intent等是否存在漏洞,並給出針對性建議;數據安全會全面檢測APP存在的數據泄漏漏洞和輸出層、協議層等所有涉及數據安全的漏洞,確保APP里那些可能導致帳號泄露的漏洞被全部檢測出。
D. Android APP漏洞,求APK漏洞檢測工具
由於Android系統的開源性,各類Android App經常被爆出漏洞,以及被反編譯、破解。有的Android開發者只是對App進行混淆代碼或是防二次打包,對於源碼的保護並不到位。同時也不清楚其中所隱藏的漏洞,這里給大家介紹一個Android App漏洞測試工具。同時,經常需要用到的一個性能測試工具,在Android應用開發或測試過程中,對應用程序進行性能壓力測試,或者GUI功能測試,以找出程序中隱藏的問題。
1. 文件檢查
檢查dex、res文件是否存在源代碼、資源文件被竊取、替換等安全問題。
2. 漏洞掃描
掃描簽名、XML文件是否存在安全漏洞、存在被注入、嵌入代碼等風險。
3. 後門檢測
檢測App是否存在被二次打包,然後植入後門程序或第三方代碼等風險。
4. 一鍵生成
一鍵生成App關於源碼、文件、許可權、關鍵字等方面的安全風險分析報告。
自動化App安全檢測平台,只需一鍵上傳APK就可完成安全漏洞檢測,檢測結果清晰、詳細、全面,並可一鍵生成報告,極大的提高了開發者的開發效率,有效幫助開發者了解App安全狀況,提高App安全性。
愛加密的漏洞分析功能http://safe.ijiami.cn/集成了目前黑客最常用的各種破解方法與思路,模擬黑客攻擊行為進行分析。開發者只需上傳自己的應用,就可以自動分析出應用存在哪些可被利用的風險漏洞,清晰直觀,並且全網首家支持一鍵下載完整詳細的PDF格式分析報告,方便技術及公司管理人員對應用漏洞相關結果進行傳遞與研究,有針對性的進行安全防護,避免破解損失。
E. APP漏洞如何檢測,如何檢測出app有漏洞
常見的APP漏洞及風險有:界面截取、輸入法攻擊、協議抓取、靜態破解、本地存儲數據竊取等。一般來說,檢測App從下面這幾個方面進行:
1 程序機密性檢測:檢查代碼混淆、dex保護監測、so保護監測、程序簽名檢測等安全問題。
2 組件安全檢測:掃描代碼組件的Activity、Broadcast Receiver、service、Content Provider存在的安全漏洞。
3 數據及業務安全檢測:檢測APP是否存在數據安全問題,用戶賬號密碼泄漏等風險。
參考內容:http://www.ineice.com/
F. 如何對安卓APK進行安全檢測和漏洞檢測
一般APP安全檢測主要就是對APP安全風險以及安全漏洞檢測,根據愛內測平台介紹,主要通過靜態分析、動態分析以及人工檢測:
靜態分析: 利用apktool、dex2jar、jd-gui、smali2dex等靜態分析工具對應用進行反編譯,並對反編譯後的java文件、xml文件等文件靜態掃描分析,通過關鍵詞搜索等靜態方式將具有安全隱患的代碼進行摘錄並存入到檢測平台後台,為後續的安全檢測報告提供數據依據
動態分析:對應用軟體安裝、運行過程的行為監測和分析。檢測的方式包括沙箱模型和虛擬機方式。虛擬機方式通過建立與Android手機終端軟體運行環境幾乎一樣的虛擬執行環境,手機應用軟體在其中獨立運行,從外界觀察應用程序的執行過程和動態,進而記錄應用程序可能表現出來的惡意行為。
人工檢測: 專業安全人員對待檢測應用,對其進行安裝、運行和試用,通過在試用過程中,逐步掌握應用的特點,並通過專業經驗,來圈定檢測重點。人工專業檢測在涵蓋基礎檢測和深度檢測的全部檢測項的同時,兼顧側重點檢測,給予應用更全面、更專業、更貼合應用的量身打造的檢測服務。
G. app漏洞如何檢測,怎麼樣才能快速檢測出來呢
1、愛內測平台就是可以一鍵上傳即可檢測APP為你快速分析找出漏洞
2、多達100+項深度檢測項目為你獨家定製檢測方案
3、人工+自動化滲透分析提供最專業的安全檢測報告,針對性給出安全修復建議
H. 關於APP應用存在著安全漏洞的問題,用什麼辦法能夠檢測出來並解決處理
可以借用一些漏洞檢測平台,比如愛內測,提供 了Android 組件檢測、許可權管理、dex 保護,靜態掃描與動態行為安全檢測相結合,多達100+項的安全檢測項目,覆蓋源碼、業務安全漏洞,並會為你生成安全檢測報告。
I. APP怎麼查看漏洞,怎麼滲透
1 文件檢查:檢查dex、res文件是否存在源代碼、資源文件被竊取、替換等安全問題。
2 漏洞掃描:掃描代碼是否使用混淆,存在安全漏洞。檢測簽名、XML主配文件進行安全檢查,是否容易被靜態注入、嵌入惡意代碼。詳見網站:http://safe.ijiami.cn/
3 後門檢測:檢測APP是否存在被二次打包,然後植入後門程序或第三方代碼等風險。
4 一鍵生成:一鍵生成App關於源碼、文件、許可權、關鍵字等方面的安全風險分析報告。
常見APP漏洞及風險:靜態破解、二次打包、本地存儲數據竊取、界面截取、輸入法攻擊、協議抓取等。