您的位置:网站首页 > 产品与方案 > 梆梆安全 > 移动互联网APP渗透测试解决方案
移动互联网APP渗透测试解决方案
一、项目背景
移动互联网App正面临越来越多的风险。除了来自外部的病毒攻击,还包括本身程序员在编码时的代码缺陷和逻辑漏洞。许多App开发者会增加一些安全手段,比如代码混淆、协议加密等等,但是现有的安全手段是否可靠?是否有能有效防范各类风险和黑客攻击?开发者本身是难以有效验证的。因此,选择第三方安全公司进行黑盒渗透测试显得十分重要,它将帮助开发者验证App的安防能力。
二、渗透测试依据
渗透测试主要依据相关行业的安全规范,相关安全的国家标准,以及企业安全实践经验。
● 移动业务系统等级保护国家标准:《信息安全技术-信息系统安全等级保护基本要求-移动互联要求标准》
● 背景洋浦伟业安全编码理论和实践
● OWASP Mobile Security Project
三、渗透测试方法
梆梆安全为许多的银行,政府,移动互联网App提供了独立透测试。帮助验证现有安全手段的可靠性、可用性、安全性。
梆梆安全移动App客户端安全渗透检测主要基于软件逆向分析技术、软件功能破解技术,利用动态黑盒测试方法澄清机制安全机理、挖掘其设计、工程实现存在的缺陷和漏洞。采用的动态黑盒测试方法是程序动态跟踪调试分析方法,通过程序动态跟踪调试分析,澄清客户端身份认证机制安全相关功能设计原理、实现技术、算法流程等。
四、渗透测试内容
梆梆安全移动互联网App渗透测试,集中在移动客户端和服务端边界安全测试,检测内容主要包括账号安全、数据泄露测试、关键业务安全测试三个大项。每个大项包括一些子项。
| 检测项 | 检测内容 |
|---|---|
| 账号安全渗透测试 | 界面劫持攻击测试 |
| 篡改/二次打包测试 | |
| Hook攻击测试 | |
| 账号密码、Token本地存储安全性测试 | |
| 账号密码传输安全性测试 | |
| 数据泄露渗透评估 | 安全包敏感信息 |
| 打印日志导致数据泄漏 | |
| 敏感信息本地存储安全性测试 | |
| 关键业务中敏感信息传输安全性测试 | |
| 业务安全渗透评估 | 关键交易安全性测试 |
| 关键接口安全性测试 |
五、渗透测试成果
渗透测试将形成详细的测试报告,对每个测试项都会提供详细的检测用例、检测结果、过程说明、以及移动互联网App整体的脆弱性分析、改进建议等等。帮助移动互联网公司更好的进行改进现有安全机制的脆弱性,保障移动互联网公司的用户信息安全和交易安全,以及交易系统的系统性安全。
