摘要:利益相關(guān)網(wǎng)易云易盾提供業(yè)內(nèi)獨(dú)特的滲透測(cè)試服務(wù)可免費(fèi)試用,以攻擊者的視角�,模擬黑客攻擊過程,對(duì)客戶端以及服務(wù)端進(jìn)行深入探測(cè)�,找出應(yīng)用系統(tǒng)中存在的缺陷和漏洞,及早發(fā)現(xiàn)�����,及早預(yù)防。
歡迎訪問網(wǎng)易云社區(qū)����,了解更多網(wǎng)易技術(shù)產(chǎn)品運(yùn)營經(jīng)驗(yàn)。
手機(jī)的滲透測(cè)試可以分為3點(diǎn):
同Web安全滲透測(cè)試類似��,需要對(duì)Server API和終端應(yīng)用進(jìn)行安全測(cè)試�����;
OS本身的特性或安全問題���;
應(yīng)用被逆向破解��,業(yè)務(wù)邏輯和信息被盜?���?���;
第一塊的問題也不少,很多做移動(dòng)開發(fā)的工程師并不一定有Web安全的經(jīng)驗(yàn)���。
很多App都存在各種邏輯漏洞��,比如App的流程依賴于響應(yīng)內(nèi)容且沒有做校驗(yàn)���。這一類的問題可以通過代理工具進(jìn)行測(cè)試����;
同樣�����,很多應(yīng)用對(duì)應(yīng)的服務(wù)器也會(huì)有一些安全風(fēng)險(xiǎn)點(diǎn)��,內(nèi)部服務(wù)開放也可以是滲透的點(diǎn)�����;
第二塊會(huì)有一些通用的漏洞��,比如android老版本的webview代碼執(zhí)行��,調(diào)試模式的一些安全問題�;也會(huì)有一些開發(fā)習(xí)慣的問題���,比如SSL證書配置的問題����,SQL本地注入和日志信息泄露的問題等。
綜合來講�,第二塊涉及的問題和手機(jī)系統(tǒng)本身有很大關(guān)聯(lián),滲透測(cè)試過程中需要不斷的積累知識(shí)庫�����;
第三塊其實(shí)是非常重要的�,很多時(shí)候我們的一些重要業(yè)務(wù)邏輯會(huì)在應(yīng)用中,如果被黑客或者競爭對(duì)手逆向破解�,很可能導(dǎo)致商秘泄露或者破解版本的盛行等,導(dǎo)致業(yè)務(wù)發(fā)展受阻����。
前兩點(diǎn)通過自己滲透測(cè)試或者尋者滲透測(cè)試服務(wù)能夠解決絕大部分風(fēng)險(xiǎn);
最后一點(diǎn)比較復(fù)雜��,自己實(shí)施的話建議業(yè)務(wù)注意前后端邏輯和關(guān)鍵業(yè)務(wù)邏輯充分分離���,不過通常甲方安全工程師很難保證(業(yè)務(wù)邏輯性和人力審核成本)�����,簡單高效的方式就是購買加固服務(wù)���。
利益相關(guān):網(wǎng)易云易盾提供業(yè)內(nèi)獨(dú)特的App滲透測(cè)試服務(wù)(可免費(fèi)試用)�����,以攻擊者的視角�,模擬黑客攻擊過程��,對(duì)App(Android�����、iOS)客戶端以及服務(wù)端進(jìn)行深入探測(cè)��,找出應(yīng)用系統(tǒng)中存在的缺陷和漏洞���,及早發(fā)現(xiàn),及早預(yù)防�。
整個(gè)測(cè)試過程分為四步:
1、方案設(shè)計(jì):確定滲透測(cè)試的時(shí)間����、方法�、測(cè)試范圍��、應(yīng)急預(yù)案等����,對(duì)整個(gè)過程進(jìn)行監(jiān)控;
2���、信息收集:收集網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)���,對(duì)目標(biāo)系統(tǒng)進(jìn)行分析,掃描探測(cè)����,服務(wù)查點(diǎn),查找系統(tǒng)IP等���;
3���、掃描滲透:綜合收集的情報(bào),借助工具找到目標(biāo)系統(tǒng)漏洞����,進(jìn)行滲透入侵���,從而獲得管理權(quán)限;
4���、檢測(cè)報(bào)告:測(cè)試人員根據(jù)測(cè)試結(jié)果����,輸出滲透測(cè)試服務(wù)報(bào)告���。內(nèi)容包括安全狀況�����、修復(fù)建議等���。
此外網(wǎng)易云還提供相關(guān)應(yīng)用加固服務(wù),如Android 應(yīng)用加固����、iOS 應(yīng)用加固等����,可以點(diǎn)擊免費(fèi)試用��。
文章來源: 網(wǎng)易云社區(qū)
文章版權(quán)歸作者所有���,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/25296.html
