摘要:利益相關(guān)網(wǎng)易云易盾提供業(yè)內(nèi)獨(dú)特的滲透測試服務(wù)可免費(fèi)試用�,以攻擊者的視角,模擬黑客攻擊過程��,對客戶端以及服務(wù)端進(jìn)行深入探測�����,找出應(yīng)用系統(tǒng)中存在的缺陷和漏洞�����,及早發(fā)現(xiàn),及早預(yù)防����。
歡迎訪問網(wǎng)易云社區(qū),了解更多網(wǎng)易技術(shù)產(chǎn)品運(yùn)營經(jīng)驗(yàn)�����。
手機(jī)的滲透測試可以分為3點(diǎn):
同Web安全滲透測試類似��,需要對Server API和終端應(yīng)用進(jìn)行安全測試�����;
OS本身的特性或安全問題����;
應(yīng)用被逆向破解,業(yè)務(wù)邏輯和信息被盜?����?;
第一塊的問題也不少�����,很多做移動開發(fā)的工程師并不一定有Web安全的經(jīng)驗(yàn)。
很多App都存在各種邏輯漏洞�,比如App的流程依賴于響應(yīng)內(nèi)容且沒有做校驗(yàn)。這一類的問題可以通過代理工具進(jìn)行測試���;
同樣�����,很多應(yīng)用對應(yīng)的服務(wù)器也會有一些安全風(fēng)險(xiǎn)點(diǎn)�,內(nèi)部服務(wù)開放也可以是滲透的點(diǎn)�����;
第二塊會有一些通用的漏洞�����,比如android老版本的webview代碼執(zhí)行�,調(diào)試模式的一些安全問題;也會有一些開發(fā)習(xí)慣的問題��,比如SSL證書配置的問題,SQL本地注入和日志信息泄露的問題等��。
綜合來講���,第二塊涉及的問題和手機(jī)系統(tǒng)本身有很大關(guān)聯(lián)����,滲透測試過程中需要不斷的積累知識庫��;
第三塊其實(shí)是非常重要的���,很多時候我們的一些重要業(yè)務(wù)邏輯會在應(yīng)用中���,如果被黑客或者競爭對手逆向破解,很可能導(dǎo)致商秘泄露或者破解版本的盛行等��,導(dǎo)致業(yè)務(wù)發(fā)展受阻����。
前兩點(diǎn)通過自己滲透測試或者尋者滲透測試服務(wù)能夠解決絕大部分風(fēng)險(xiǎn);
最后一點(diǎn)比較復(fù)雜����,自己實(shí)施的話建議業(yè)務(wù)注意前后端邏輯和關(guān)鍵業(yè)務(wù)邏輯充分分離,不過通常甲方安全工程師很難保證(業(yè)務(wù)邏輯性和人力審核成本),簡單高效的方式就是購買加固服務(wù)��。
利益相關(guān):網(wǎng)易云易盾提供業(yè)內(nèi)獨(dú)特的App滲透測試服務(wù)(可免費(fèi)試用)��,以攻擊者的視角����,模擬黑客攻擊過程����,對App(Android、iOS)客戶端以及服務(wù)端進(jìn)行深入探測���,找出應(yīng)用系統(tǒng)中存在的缺陷和漏洞���,及早發(fā)現(xiàn),及早預(yù)防�。
整個測試過程分為四步:
1、方案設(shè)計(jì):確定滲透測試的時間��、方法��、測試范圍����、應(yīng)急預(yù)案等�����,對整個過程進(jìn)行監(jiān)控�����;
2�����、信息收集:收集網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)����,對目標(biāo)系統(tǒng)進(jìn)行分析����,掃描探測,服務(wù)查點(diǎn)��,查找系統(tǒng)IP等����;
3����、掃描滲透:綜合收集的情報(bào)����,借助工具找到目標(biāo)系統(tǒng)漏洞,進(jìn)行滲透入侵����,從而獲得管理權(quán)限�����;
4��、檢測報(bào)告:測試人員根據(jù)測試結(jié)果���,輸出滲透測試服務(wù)報(bào)告�。內(nèi)容包括安全狀況�����、修復(fù)建議等���。
此外網(wǎng)易云還提供相關(guān)應(yīng)用加固服務(wù)����,如Android 應(yīng)用加固、iOS 應(yīng)用加固等�,可以點(diǎn)擊免費(fèi)試用。
文章來源: 網(wǎng)易云社區(qū)
文章版權(quán)歸作者所有�����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/25296.html
