Самый Важный Контрольный Список Для Тестирования Проникновения Приложений Android | DedicateT.com

Регистрация
18.12.2017
Сообщения
411
Симпатии
173
Баллы
106
#1
Android-Application.png

Android является крупнейшей организованной базой любой мобильной платформы и развивается быстро—каждый день. Кроме того, Android растет как самая расширенная операционная система в этой точке зрения по разным причинам.


Однако, что касается безопасности, никаких данных, связанных с новыми уязвимостями, которые могли бы привести к слабому программированию на этом этапе, не раскрывается, понимая, что этот этап имеет выдающуюся поверхность атаки.

Сбор информации
Сбор информации является самым основным шагом теста безопасности приложений. Тест безопасности должен попытаться протестировать как можно большую часть базы кода.

Поэтому главным является сопоставление всех мыслимых путей через код, чтобы поощрять исчерпывающее тестирование.
  • основная информация. Краткое изложение общей информации о приложении.
  • Тестирование для общих библиотек и отпечатков пальцев.
  • Краткое описание компонентов приложения и авторизаций компонентов.
  • Обратное проектирование кода приложения.
Недостатки Локального Хранилища Приложений
У вас нет разрешения на просмотр ссылки! Войти или зарегистрироваться
дает вам несколько альтернатив, чтобы сэкономить настойчивую информацию о приложении. Хранилище, которое вы выбираете, зависит от ваших конкретных потребностей.

Например, независимо от того, должна ли информация быть закрытой для вашего приложения или открытой для разных приложений (и клиента) и сколько места требуется вашим данным.
  • Разумные данные, найденные в журналах и кэше.
  • Хранение конфиденциальных данных в общем хранилище (предоставляется всем приложениям без ограничений).
  • Разрешения SQL-инъекции и доступа контент-провайдеров.
  • Проверьте, если конфиденциальные данные остаются там даже после выхода из системы.
  • Конфиденциальность и утечки метаданных.
Безопасность Транспортного Уровня
Шифрование с безопасностью транспортного уровня продолжает любопытные глаза далеко от ваших сообщений, пока они находятся в полете. TLS-это протокол, который кодирует и передает данные безопасно, как для входящих, так и для исходящих данных трафика, он избегает шпионажа.
  • Старые Незащищенные Протоколы Транспортного Уровня.
  • Слабое шифрование TLS (преступление, нарушение, зверь, Lucky13, RC4 и т. д.) можно найти с помощью таких инструментов, как (sslscan, sslyze, osaft и т. д.).
  • Небезопасное Хранение Данных.
  • Обход закрепления сертификата TLS.
  • Недостатки подлинности TLS.
Безопасность IPC(Межпроцессная связь)
Механизмы IPC Android позволяют проверить идентичность приложения, подключенного к вашему IPC, и установить политику безопасности для каждого механизма IPC.
  • Атаки отказа в обслуживании устройств.
  • Разрешения И Проблемы Обмена Данными Цифровой Подписи.
  • Незаконное приложение может получить доступ к конфиденциальным данным.
  • Открытые компоненты и авторизация между приложениями.
Ненадежный код
  • Конфиденциальная информация раскрывается в сообщении об ошибке приложения.
  • Риски выполнения JavaScript в WebViews.
  • Небезопасные разрешения, установленные приложением через AndroidManifest.XML-файл.
  • Переполнение буфера на основе целых чисел, кучи и стека.
Недостатки Проверки Подлинности
Аутентификация является основной частью этой процедуры, но даже строгая проверка подлинности может быть подорвана несовершенными функциями управления учетными данными, включая изменение пароля, забыли пароль, запомнить пароль, обновление учетной записи и другие связанные функции.
  • Несоответствие Аутентификации.
  • Перекрестная Аутентификация Приложений.
  • Ошибки обработки сеанса.
  • Ошибки Проверки Подлинности На Стороне Клиента.
  • Отсутствие политики блокировки учетных записей.
Уязвимость бизнес-логики
включены уязвимости с компонентами, более сосредоточенными вокруг дизайна, а не кодификации. И трюк выполнения, и способность приложения работать поразительным образом, влияющим на его рабочий процесс, включены.
  • Проверьте правильность на стороне сервера.
  • Компромисс между администратором и учетной записью пользователя.
  • Проверьте метод обнаружения/обхода корня.
  • Аутентификация Bruteforce.
Тестирование проникновения Android на стороне сервера проверяет
  • Проверьте наличие инъекции на стороне клиента (XSS).
  • Перечисление имени пользователя.
  • SQL-инъекция
  • Загрузка вредоносных файлов.
  • Проверьте все методы HTTP (PUT, DELETE и т. д.). Используйте burp intruder с использованием HTTP-глагола).
  • Проверьте управление сеансом (недостатки cookie, переопределение сеанса, фиксация сеанса и т. д.).).
  • Недостатки реализации CAPTCHA и обход.
  • Запустите nikto, dirb websever scanner.
Открытая Методология Оценки Безопасности Android
Элементы управления безопасностью Android структурированы в следующем разделе для справочной основы оценки уязвимостей приложений Android.
 

Пользователи, которые просматривали тему (Всего: 8)