记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

安卓应用程序渗透测试(十二)

前不久为大家介绍了安卓应用程序渗透测试checklist的第一部分,今天与大家分享第二部分。M6—不安全的授权为了测试设计存在问题的授权方案,测试员可以尝试对移动app发起二进制攻击,在app处于离线模式下执行只有高级权限用户才能执行的功能,看看是否能成功。测试员可以尝试在向后端服务器发起敏感功能的POST/GET请求中使用低权限的session来执行高权限的功能。授权方案设计存在缺陷或者缺失,让攻击者能够使用通过app身份验证的低权限用户执行他们原本无权执行的功能。手机有一个需求就是要保证离线时的可用性,所以授权通常是在移动设备本地完成的,而不是通过远程服务器,如此一来,授权问题就更加容易遭受攻击。如果授权被绕过,依
发布时间:2018-10-17 12:20 | 阅读:136313 | 评论:0 | 标签:移动安全 Android checklist 渗透测试

安卓应用程序渗透测试(十一)

移动平台提供了很多服务,从身份验证到安全数据存储再到安全网络通信。但是,如果平台的某些功能使用不当,可能会导致数据泄露,允许不信任主机连接等问题。本文我们总结了一些安卓的checklist。M1–平台使用不当移动平台(iOS,Android,Windows phone)为我们提供了文档结构良好且通俗易懂的特性和功能,而这类风险的特征就是app没有使用这种功能或者使用不当。另请阅读:完整的移动应用渗透测试指南导致这种风险的行为有如下几种:违反发布的指南所有平台都会开发安全指南。如果某个app不遵守安全指南,违反开发者提供的最佳做法,就会存在该风险。违反条款或惯例开发者编写的指南并不会包含所有的最佳做法,在某些
发布时间:2018-10-15 12:20 | 阅读:123132 | 评论:0 | 标签:移动安全 Android checklist 渗透测试

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云