加QQ81758415
快捷导航

移动应用渗透测试方法 高手指点了5个关键步骤 渗透测试工具都给出来了

2018-3-23 08:00| 发布者: xlbck| 查看: 30| 评论: 0|原作者: xlbck

摘要: 这次把移动渗透包括应用测试的关键步骤及工具分享给大家,如果您的组织严重依赖移动应用及相关业务,并且您关注移动应用渗透测试方法的最新信息,强烈建议你看看。 ...

全年安全加推出了移动应用渗透测试的 方案 实战 ,这次把移动渗透包括应用测试的关键步骤及工具分享给大家,如果您的组织严重依赖移动应用及相关业务,并且您没有掌握移动应用 渗透测试 方法的最新信息,那强烈建议你看看如下内容。

Verizon2018移动安全指数报告的调查结果显示,移动技术的惊人增长引发了许多新的漏洞,85%的受访者表示,他们的公司在移动威胁方面处于中等风险,74%的受访者表示风险在过去一年中有所增加。

推荐阅读:

什么是移动渗透测试?

移动渗透测试是一种用于分析移动环境内部安全性的安全测试形式。通过进行渗透测试,企业可以在发布应用程序或使用其他移动相关技术之前,了解源代码中的漏洞、瓶颈、漏洞和攻击媒介。因此,您可以事先更改设计、代码和架构。在此阶段解决问题的机会成本,要比稍后在发现缺口或缺陷时解决问题要少。推出后阶段的成本不仅包括财务问题,还包括公关、法律等等。

在移动测试中使用哪些方法?

典型的移动渗透测试涉及以下五个关键步骤:

第1步:测试准备

准备阶段包括识别企业的测试目标、机密信息和应用程序安全控制。不同的企业有不同的安全要求和可用于笔试的资源。 OWASP MASVS 1级(移动应用安全验证标准)中的控件,适用于所有应用程序。但是在某些情况下,应该使用MASVS 2级要求。例如,银行应用程序可能需要 双因子认证 ,这是L2要求。

此外,必须有一个数据分类策略来标记敏感数据。数据通常在静止时(数据在存储设备或文件中空闲),使用中(数据已加载到应用程序的地址空间中)或传输中(数据在通信过程之间传输)时可访问。如果您的组织尚未设置数据分类策略,则可以将用于保护操作系统本身或其他应用程序的任何技术数据视为 敏感数据

第2步:建立测试环境

Web应用程序与大多数浏览器和平台兼容,但这种兼容性级别在移动应用程序中不可用。因此,测试人员必须配置一个OS驱动的测试环境。如果渗透测试计划用于安卓,则该设备必须被植入。如果是iOS版,渗透测试人员必须越狱该设备。通过越狱iOS设备,测试人员可以启动它并拥有对OS的管理员/ root用户访问权限。另外,信息收集需要渗透测试人员安装一些额外的工具,这些工具需要在测试环境中部署。

对于安卓上的二进制分析,建议渗透测试人员使用Android Apktool。网络分析可以使用OWASP ZAP, Wireshark 或Burp Proxy进行。当对加密的移动应用进行测试时,就需要用到像AppCrack这样的工具。对于iOS,Cydia可以在越狱状态下载所需的渗透测试工具。如果您想深入了解应用的机制,应用调试也是一种选择。

第3步:应用程序映射

第三步要求组织了解移动应用程序的逻辑,它存储的数据,入口点和潜在的架构漏洞。如果渗透测试是在白盒方案中进行的(测试人员对应用程序有完整的了解),应用程序内部(它的源代码、功能特征等)可能会对此过程有很大的帮助。例如,利用SAST(静态应用程序安全测试)工具可以帮助识别 SQL注入 等漏洞。然而,重要的是要注意,自动化工具只会识别他们已经编程识别的内容,所以可能需要通过手动分析,来增强入侵检测工具的发现效率。

该过程的另一个关键要素是威胁建模。这是一种结构化的方法,可帮助您解决和量化与应用相关的威胁。它通常在渗透测试的初始阶段执行,并且它生成的文档,通常支持识别渗透测试人员所需的大部分细节 - 严重性、漏洞、入口点等。如果需要的话,如果渗透测试是按照某人的要求进行的,那么需要跟他保持密切沟通。OWASP威胁建模准则适用于移动应用程序。

https://www.owasp.org/index.php/Application_Threat_Modeling

第4步:暂存移动攻击

有时,预算或时间限制将移动安全测试有限制,要求只通过自动扫描仪进行漏洞分析。虽然识别出的漏洞可能值得注意,但测试者需要进行攻击以确认其相关性。

首先,需要进行客户端攻击。此阶段的主要目标是执行文件和二进制分析。通过分析代码和调试,可以发现没有足够访问控制的不安全文件。为了识别SQL注入等漏洞,渗透测试人员可以使用诸如应用恶意命令和应用程序模糊等技术。其中一些方法与OWASP测试指南中使用的方法类似。

一旦为应用程序确定了客户端 - 服务器层 C/S架构,就可以使用嗅探器来调查网络流量和层保护,从而进行网络攻击。诸如参数篡改等技术可用于揭示角色和相关访问控制。文件分析可以揭示已在不可访问的文件夹中保护的API密钥。ZAP和其他攻击代理可以帮助识别恶意流量。

最后,测试人员测试基础设施,尤其是托管移动应用程序的服务器至关重要。这可以使用 Nmap 等工具完成。但是,混合应用程序的测试应该包括,可以突破服务器和客户端之间认证机制的攻击。该方法可以方便地发现像Apple ID iCloud Hack这样的漏洞,通过利用所有者的出生日期和电子邮件可以劫持账户。

第5步:报告漏洞

移动应用渗透测试过程的这一部分对客户至关重要。测试人员报告他们发现的漏洞,并列出他们已经能够进行的攻击类型,包括数据泄露的范围。这些发现需要明确记录。此外,报告还应包括信息来源、脆弱性背景,确定发现漏洞的优先发现和建议。

由于存在不同的移动操作系统,每个移动操作系统都有不同的体系结构,因此没有适用于所有平台的单一框架。因此,上述渗透测试步骤将包括针对不同环境的各种工具和方法,并且通常需要手动干预。持续的练习和学习可以帮助渗透测试人员更加了解与移动应用和系统相关的安全风险。


鲜花

握手

雷人

路过

鸡蛋
黑客技术

让创业更简单

  • 反馈建议:hackhl@outlook.com
  • 客服电话:暂时没有
  • 工作时间:周一到周五9点~22点

云服务支持

黑客联盟,快速搜索

关注我们

Copyright 黑客联盟安全防护网  Powered by©  技术支持:    ( 闽ICP备18000419号-1 )