APP渗透测试流程 漏洞检测与安全加固方面简介

目前更多的APP受到黑客侵入，包括数据库被篡改，APP里的用户数据被泄露，手机号以及姓名，密码，资料都被盗取，很多平台的APP的银行卡，充值通道，聚合支付接口也都被黑客修改过，导致APP运营者经济损失太大，很多通过老客户的介绍找到我们SINE安全公司，寻求安全防护，防止攻击，根据我们SINESAFE近十年的网络安全从业来分析，大部分网站以及APP被攻击的原因都是网站代码存在漏洞以及服务器系统漏洞，包括安装的服务器软件都存在漏洞。

文件上传漏洞，检测APP头像上传，以及留言反馈等可以上传图片的功能里是否存在可以绕过文件格式漏洞，上传PHP，JAVA，JSP，WAR等脚本等木马文件到APP目录里。

短信盗刷漏洞：在用户的注册，找回密码，设置二级密码，修改银行卡等重要操作的时候获取手机短信验证码的功能里是否存在短信多次发送，重复发送，1分钟不限制发送次数的漏洞检测与渗透测试。

SQL注入漏洞：对APP的用户登录，充值页面，修改银行卡，提交留言反馈，商品购买，提现功能里可以将恶意的SQL注入代码植入到APP里，并发送到后端数据库服务器进行查询，写入，数据删除等常规SQL语句的操作的需求渗透于实时数据的检测。

敏感信息泄露漏洞：有些APP未对提交返回的内容进行加密，导致返回的数据中包含了用户的信息，账号，密码，都是明文显示，通过修改ID值可以任意的查看到其他会员的信息。

XSS跨站漏洞：有些APP意见反馈，头像上传地址功能里是否可以插入XSS跨站代码，导致后台管理员查看留言的时候可以触发XSS跨站攻击，导致后台的登录地址，COOKIS都被攻击者获取到。

弱口令漏洞，包括服务器的root账号密码，以及redis密码，网站后台管理员账号密码都可能存在弱密码，像123456.admin，admin8888等等都是属于弱口令，这方面也是需要进行渗透测试的。在安全性方面，我们可以通过一些软件来实现，比如360安全卫士，腾讯守护者计划等等，这些软件都是可以对用户的手机进行安全检测的。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!