摘要:利益相關(guān)網(wǎng)易云易盾提供業(yè)內(nèi)獨(dú)特的滲透測(cè)試服務(wù)可免費(fèi)試用�,以攻擊者的視角,模擬黑客攻擊過(guò)程��,對(duì)客戶端以及服務(wù)端進(jìn)行深入探測(cè)��,找出應(yīng)用系統(tǒng)中存在的缺陷和漏洞���,及早發(fā)現(xiàn)���,及早預(yù)防。
歡迎訪問(wèn)網(wǎng)易云社區(qū)�,了解更多網(wǎng)易技術(shù)產(chǎn)品運(yùn)營(yíng)經(jīng)驗(yàn)。
手機(jī)的滲透測(cè)試可以分為3點(diǎn):
同Web安全滲透測(cè)試類似�����,需要對(duì)Server API和終端應(yīng)用進(jìn)行安全測(cè)試�;
OS本身的特性或安全問(wèn)題;
應(yīng)用被逆向破解�����,業(yè)務(wù)邏輯和信息被盜?�?;
第一塊的問(wèn)題也不少,很多做移動(dòng)開(kāi)發(fā)的工程師并不一定有Web安全的經(jīng)驗(yàn)����。
很多App都存在各種邏輯漏洞,比如App的流程依賴于響應(yīng)內(nèi)容且沒(méi)有做校驗(yàn)��。這一類的問(wèn)題可以通過(guò)代理工具進(jìn)行測(cè)試�����;
同樣�,很多應(yīng)用對(duì)應(yīng)的服務(wù)器也會(huì)有一些安全風(fēng)險(xiǎn)點(diǎn),內(nèi)部服務(wù)開(kāi)放也可以是滲透的點(diǎn)����;
第二塊會(huì)有一些通用的漏洞,比如android老版本的webview代碼執(zhí)行��,調(diào)試模式的一些安全問(wèn)題�����;也會(huì)有一些開(kāi)發(fā)習(xí)慣的問(wèn)題,比如SSL證書(shū)配置的問(wèn)題���,SQL本地注入和日志信息泄露的問(wèn)題等����。
綜合來(lái)講���,第二塊涉及的問(wèn)題和手機(jī)系統(tǒng)本身有很大關(guān)聯(lián)���,滲透測(cè)試過(guò)程中需要不斷的積累知識(shí)庫(kù);
第三塊其實(shí)是非常重要的�����,很多時(shí)候我們的一些重要業(yè)務(wù)邏輯會(huì)在應(yīng)用中��,如果被黑客或者競(jìng)爭(zhēng)對(duì)手逆向破解����,很可能導(dǎo)致商秘泄露或者破解版本的盛行等,導(dǎo)致業(yè)務(wù)發(fā)展受阻��。
前兩點(diǎn)通過(guò)自己滲透測(cè)試或者尋者滲透測(cè)試服務(wù)能夠解決絕大部分風(fēng)險(xiǎn)�����;
最后一點(diǎn)比較復(fù)雜,自己實(shí)施的話建議業(yè)務(wù)注意前后端邏輯和關(guān)鍵業(yè)務(wù)邏輯充分分離�����,不過(guò)通常甲方安全工程師很難保證(業(yè)務(wù)邏輯性和人力審核成本)����,簡(jiǎn)單高效的方式就是購(gòu)買(mǎi)加固服務(wù)�����。
利益相關(guān):網(wǎng)易云易盾提供業(yè)內(nèi)獨(dú)特的App滲透測(cè)試服務(wù)(可免費(fèi)試用)�,以攻擊者的視角,模擬黑客攻擊過(guò)程�,對(duì)App(Android、iOS)客戶端以及服務(wù)端進(jìn)行深入探測(cè)���,找出應(yīng)用系統(tǒng)中存在的缺陷和漏洞�,及早發(fā)現(xiàn)�����,及早預(yù)防。
整個(gè)測(cè)試過(guò)程分為四步:
1���、方案設(shè)計(jì):確定滲透測(cè)試的時(shí)間���、方法、測(cè)試范圍���、應(yīng)急預(yù)案等�,對(duì)整個(gè)過(guò)程進(jìn)行監(jiān)控�����;
2���、信息收集:收集網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�,對(duì)目標(biāo)系統(tǒng)進(jìn)行分析�,掃描探測(cè),服務(wù)查點(diǎn)����,查找系統(tǒng)IP等;
3、掃描滲透:綜合收集的情報(bào)�,借助工具找到目標(biāo)系統(tǒng)漏洞,進(jìn)行滲透入侵����,從而獲得管理權(quán)限;
4�、檢測(cè)報(bào)告:測(cè)試人員根據(jù)測(cè)試結(jié)果,輸出滲透測(cè)試服務(wù)報(bào)告�。內(nèi)容包括安全狀況����、修復(fù)建議等。
此外網(wǎng)易云還提供相關(guān)應(yīng)用加固服務(wù)�����,如Android 應(yīng)用加固�、iOS 應(yīng)用加固等,可以點(diǎn)擊免費(fèi)試用���。
文章來(lái)源: 網(wǎng)易云社區(qū)
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/25296.html
