- 1、本文档共8页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
APP渗透测试方案2016-7-29XXXXX公司广东省广州市XXXXX地址目录1 App渗透简介22 APP渗透测试所用工具22.1 代理抓包工具22.2 反编译工具22.3 其他针对服务端的web渗透工具33 APP渗透测试的方法43.1 数据包分析、测试43.2 APP反编译还原代码44 APP渗透测试流程44.1 项目启动44.1.1 项目启动准备44.1.2 实施方案制定44.2 项目实施54.2.1 信息收集54.2.2 平台使用不当的测试54.2.3 不安全的数据存储的测试54.2.4 不安全的通信的测试54.2.5 不安全的身份验证的测试64.2.6 加密不足的测试64.2.7 不安全的授权的测试64.2.8 客户端代码质量问题的测试64.2.9 代码篡改的测试64.3 项目收尾64.3.1 报告编写64.3.2 问题复查7App渗透简介移动app大多通过web api服务的方式跟服务端交互,这种模式把移动安全跟web安全绑在一起。移动app以web服务的方式跟服务端交互,服务器端也是一个展示信息的网站,常见的web漏洞在这也存在,比如说SQL注入、文件上传、中间件/server漏洞等。APP渗透测试所用工具代理抓包工具BurpsuitFiddler代理抓包工具主要用于抓取、分析、篡改APP与服务端之间的交互数据包。爆破、解编码、执行会话令牌等作用。反编译工具APP的反编译有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是java汇编代码。工具1:dex2jar+jdgui 工具2:apktool工具1反编译出来的是java源代码,易读性比较高。工具2反编译出来的东西为smali反汇编代码、res资源文件、assets配置文件、lib库文件,我们可以直接有哪些信誉好的足球投注网站smali文件和资源文件来查找链接等。其他针对服务端的web渗透工具NMAPNmap是一款网络扫描和主机检测的非常有用的工具。Nmap是不局限于仅仅收集信息和枚举,同时可以用来作为一个漏洞探测器或安全扫描器。它可以适用于winodws,linux,mac等操作系统。Nmap是一款非常强大的实用工具,可用于:检测活在网络上的主机(主机发现)检测主机上开放的端口(端口发现或枚举)检测到相应的端口(服务发现)的软件和版本检测操作系统,硬件地址,以及软件版本检测脆弱性的漏洞(Nmap的脚本)SLQMAPSqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。支持的数据库:MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MaxDB SQL注入技术:boolean-based blind, time-based blind, error-based, UNION query, stacked queries and out-of-band枚举数据:users, password hashes, privileges, roles, databases, tables and columns其他针对strut2的漏洞利用脚本、网站弱电扫描工具、网站目录爆破工具、BeEF等APP渗透测试的方法数据包分析、测试利用burpsuit、fiddler对APP进行抓包分析、篡改。这个方法利用在移动设备上设置代理,通过人工操作使app与服务端交互。测试APP与服务端的业务流程是否存在漏洞。APP反编译还原代码有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是java汇编代码。从源代码层面上分析APP安全性。APP渗透测试流程项目启动项目启动准备项目启动前为了保障双方利益、使得APP渗透项目可以顺利进行需与客户签订项目合同、项目必威体育官网网址协议、项目启动实施协调等前期工作。实施方案制定某某获取到XXX的书面授权许可后,才进行渗透测试的实施。并且将实施范围、方法、时间、人员等具体的方案与XXX进行交流,并得到XXX的认同。在测试实施之前,某某会做到让XXX对渗透测试过程和风险的知晓,使随后的正式测试流程都在XXX的控制下。项目实施信息收集收集目标系统暴露于网络上,不需要额外的授权便可获取到的信息。专业安全工具扫描、嗅探,对系统的网络和应用程序进行远程漏洞扫描,并对扫描结果进行分析。利用社会
文档评论(0)