来讨论下,安卓APP常见的风险点有哪些?

cnrstar (Be My Personal Best!) | 2014-05-18 21:52

看很多厂商在球测试APP安全性,很多还是burp抓包,然后测接口的常见web漏洞去了,这个不在讨论范围内。那么除了web漏洞,安卓的APP还有哪些风险点呢?

先来两个不知道算不算的:

源代码可被反编译,可被修改后重新打包

楼下继续。。

[原文地址]

各种吐槽:

1#

从容 (低调求发展.) | 2014-05-18 21:56

沙发- -. 逆向工程

2#

cnrstar (Be My Personal Best!) | 2014-05-18 22:01

@从容 逆向哪些东西?目的是什么呢?

拿到源代码?然后从哪方面审计呢?球大神科普。。

3#

从容 (低调求发展.) | 2014-05-18 22:06

@cnrstar 我也是菜鸟一枚- -. 建议你去看看相关的书籍,不同的APP运行系统有不同的逆向方法

4#

蟋蟀哥哥 (̷ͣ̑̆ͯ̆̋͋̒ͩ͊̋̇̒ͦ̿̐͞҉̷̻̖͎̦̼) | 2014-05-18 22:16

信息泄露, 比如腾讯的某APP就明文记录了主人的的GPS位置。。并且是每一秒的位置都有记录。

5#

open (心佛即佛,心魔即魔.) | 2014-05-18 22:25

第一,敏感信息,

第二,常见web漏洞,

第三,内部接口泄露,

第三,本地关键算法泄露,比如传输中的加密算法,客户端spma判断算法等等,这个是最主要的。

第四,常见的平台漏洞,比如webview使用不当导致的漏洞。

讨论APP的安全,主要是要有比较好的办法逆向,现在app,无论是ios还是安卓,要逆向都是比较困难的。

6#

lxj616 (简介) | 2014-05-18 22:29

webview rce

7#

cnrstar (Be My Personal Best!) | 2014-05-18 22:29

@open 碉堡了,学习!

8#

zeracker (多乌云、多机会!) | 2014-05-18 22:40

OWASP Mobile Top 10 Risks 写得挺不错的。https://www.owasp.org/index.php/OWASP_Mobile_Security_Project#Top_Ten_Mobile_Risks

我就不给你翻译了。

9#

肉肉 | 2014-05-18 22:45

不知道拒绝服务算不算

10#

px1624 (aaaaaaaaa) | 2014-05-18 22:51

不知道那种加密然后用文件浏览器可以查看的算不算

11#

he1renyagao ([code]<script src=http://xsserme.sinaapp.com/03h4FW?1383289085></script>[/code]) | 2014-05-18 22:53

android hacker's handbook

12#

itleaf (‮ 你死晕) | 2014-05-18 22:55

http://android.scap.org.cn/index.html

13#

易水寒 | 2014-05-18 23:01

卢彬良童鞋的议题 http://www.owasp.org.cn/OWASP_Events/download/copy7_of_.pdf

还有@碳基体 妹纸的 http://danqingdani.blog.163.com/blog/static/18609419520137143837489/

14#

Sogili (.) 长短短 (.) | 2014-05-18 23:02

app 授权 token 过期检验机制

15#

蓝莓说 | 2014-05-19 00:09

ios app 一样反编译 我就会 可以得到源码 反汇编

16#

Comer | 2014-05-19 06:07

masterkey

17#

Comer | 2014-05-19 06:08

貌似跑题了,擦

18#

cnrstar (Be My Personal Best!) | 2014-05-19 09:54

多谢各位,回头要整理一份完整的

19#

nclove | 2014-05-23 09:33

之前没事的时候测试通过了部分apk包和相关web应用请求数据方面的测试,比如测试了web天涯、人人等,通过测试发现天涯、126这些web登录信息都是以明文的方式在公网上进行传输的,所以既不安全,还有就是提到的apk包的签名打包等,微信好像就可以修改咱们登录的时候那个地球背景的图片,然后再签名,发现依然可以使用。其实手机安全挺重要的,比如现在好多的apk开发厂商就是流氓,在apk中加广告你就罢了,还加假的,不知道大家有没有同感。

留言评论(旧系统):

tryer @ 2014-05-21 09:19:10

后台,FTP等IP限制有没有什么办法?

本站回复:

要看具体情况……