• APP本地服务安全测试


    一、安全测试基本分类:
    1、系统安全
    系统加固
    安全加固:比如linux中关闭telnet端口,修改ssh端口
    检测一些不必要的服务(需要卸载一个ping)--保证系统的最小集
    app安全加固:加一层外壳
    补丁
    消息中间件:activityMQ,rabbitMQ,safMQ(关闭页面,非业务端口,默认用户)
    防火墙规则(iptables)
    防病毒
    2、应用安全(安装包,服务,业务)----用户(人和服务)口令、敏感信息
    (1)黑白名单(IP:port)----访问控制
    (2)消息层面:数据加密和签名
    (3)加密算法的安全性(对称、非对称)
    3、管理安全
    业务层面:面向普通用户
    管理层面:管理节点创建虚拟机(对资源的管理,虚拟机创建成功后进行提供业务)
    运营层面:对业务的处理
    运维层面:针对管理员(线上,线下)
    4、网络安全:关注数据传输安全(数据源头和目的),是否加密,检测数据的正确性和一致性(有无伪造)
    (传输)----加密(hppts+ssl)
    不是重点关注的:丢包后的处理 数据一致性(udp)
    5、云安全测试
    A用户--安全组A
    B用户--安全组B
    (1)将A进入B,或者将B加入A
    (2)规则:a->b(ip/udp/icmp) b->a 单通 多通
     
    安全:
    1、硬件
    防火墙,交换机
    2、软件
     
    二、app本地服务安全测试
    问题1:app当前的现状,会遇到哪些安全类的问题
    1、远程控制(木马)
    2、恶意推广(付费)
    3、外挂(程序的后门)
    4、敏感、隐私信息被窃取
    5、本地进程注入(四大组件没有权限控制)
    6、钓鱼(盗版的应用)
     
    账户安全
    文件安全:文件权限的最小集,文件是否需要加密,脱敏处理(大数据的清洗)
     
    支付安全:账户安全,日志安全(用户信息泄露),数据存储(加密存储),安全加密算法
     
    进程安全:是否有状态资源监控,进程管理,脚本是否安全
    文件存储:
    app的四大组件安全(drozer工具)
    activity:生命周期,服务的机制需要掌握
    启动,恢复,停止,完成等各种状态的切换
    service:
    context provider:
    broadcast:一对一,多对多
     
    1、安装包安全
    1.1安装包是否可以反编译
    apk-->dex-->运行
    反编译:dex->java->反编译(user/pwd/password等敏感信息)
    编码:(1)用户敏感信息硬编码
    (2)代码混淆
    对于支持反射的语言,代码混淆有可能与反射发生冲突。
    代码混淆并不能真正阻止反向工程,只能增大其难度
    对于对安全性要求很高的场合,仅仅使用代码混淆并不能保证源代码的安全。
    (3)代码扫描(fortify)
    Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具;
    它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。
    1.2、安装包是否有签名
    (1)发布前校验签名使用的key是否正确
    (2)使用命令:jarsigner –verify –verbose –certs apk包路径
    验证结果:jar已验证
    1.3、安装包是否完整
    包发布:
    (1)发布平台下载安装包
    (2)安装包完整性校验:一般采用md5校验方式,通过md5工具和md5密钥进行校验
    例如app下载后进行完整性校验
    1.4、安装包中申请的权限问题
    认证机制:android--manifest.xml中看各个组件的权限
    对APP申请的权限进行检查,在Android工程的AndroidManifest.xml文件中查询申请的权限,删除不必要的权限,例如用户定位/通讯录/信息等权限,保留APP可用权限即可
     
    2、软盘劫持
    (1)安全问题:
    用户安装了第三方不可信的键盘输入法,当涉及到隐私或者金融 类操作时需要应用进行校验提示
    (2)建议:
    使用应内部提供的软键盘
    定期对手机进行病毒扫描
     
    3、账户安全(最重要)
    账户分类:
    用户账户(管理员,普通用户),
    服务账户(多个服务之间的交互需要使用口令)
    docker(各种服务,通信可能是通过消息组建、配置文件---ip/port/user/password)
    硬件账户(硬件动态库)
     
    (1)密码是否明文存储(数据库/配置文件)
    (2)密码加密算法是否安全
    (3)密码是否加密传输
    (4)是否支持账号锁定策略---3次,第四次锁定
    (5)是否支持多点登陆
    (6)注销后不能访问(session、cookies是否删除)
    (7)账户权限控制(纵向越权和横向越权)
    纵向越权:一个低级别攻击者尝试访问高级别用户的资源
    横向越权:攻击者尝试访问与他拥有相同权限的用户的资源;(不同部门或者不同公司之间)
    (8)密码安全要求(长度、字符,数字)
     
    4、文件安全
    (1)文件权限
    dwrx 0,0,0 读,写,执行
    用户、本组、其他组
    根据业务需要赋予文件最小权限
    (2)文件内容
    敏感信息(用户名、密码),加密的方法,加密的安全要求
    包括对外提供的用户名和密码信息以及程序内部交互的认证信息:需要满足密码不能是明文,并且需要安全加密算法进行加密配置,密码长度和格式满足安全要求
     
    文件上传和下载:
    要不要脱敏处理(医院上传证件照)
    传输过程中加密
    完整性校验(hash值校验)
    文件存储
     
    5、日志安全
    (1)业务日志----交易的流水号,交易的过程
    (2)系统内部交互日志 a--->b---->c 记录整个交互过程
    debug/interface/run/security
    log.debug(message.toString())----打印所有的信息
    (3)统计/审计日志---系统的入口记录每分钟接收的消息数
    (4)重点考虑:敏感信息的存储(密码等)
    (5)日志管理平台:收集各个系统中的日志
     
    日志中不能打印密码信息;
    日志中不能打印用户隐私信息;
    需要有安全日志功能;
    日志需要有清理机制;
    日志不能随意删除。
     
    日志安全的测试手段:
    自己写脚本去扫描日志文件(user/pwd/password/userName/userpwd)
    shell/python/search工具
     
    6、进程安全
    1、启动
    (1)权限问题:win10经常遇到自己运行exe报没有权限
    一般使用普通用户启动服务
    linux:不能使用root用户启动服务
    在start.sh中判断只能当前用户启动
    (2)启动过程中数据问题(有时候进程启动的时候会生成一下临时文件,需要考虑临时文件中是否涉及安全信息)
    启动过程中的临时文件需要删除
    (3)启动完成后对外端口启动在业务网络上,对内端口启动在本地网络上
    端口的启动机制
    问题:当前端口有什么安全风险
    0.0.0.0 全网监听,内网的会被外部网络访问到
    2、运行
    (1)运行过程中的缓存信息涉及隐私需要加密
    (2)需要记录运行日志
    (3)运行过程中需要有监控认证
    运行监控:vcs/hacs----提供守护服务
    (4)多进程之间的交互需要认证
    3、停止
    (1)清理临时文件
    (2)安全断开相关连接
     
    7、数据存储/文件存储安全
    功能:数据完整性;数据备份;容错与冗余
    AI--机器学习
    (1)数据的重要性---机密性,完整性,防丢失
    目的:保护机密数据;防止数据丢失;确保数据完整性
     
    python爬虫:统计从10年到现在当前歌手的歌曲:
    a:有多少唱季节,春,夏,秋,冬
    b:多少唱城市的歌曲,成都,北京,上海.....
    最终生成一个报表
    (2).数据的介质(硬件)
    介质:单个文件、数据库、文件服务器、缓存服务
    数据库
    功能:数据完整性
    数据存储:加密存储
    访问控制
    监控机制(服务监控,数据监控)
    备份恢复
    (3)数据库安全
    DCL DDL DML 数据库扫描--NGSSquirrel(全球公认的数据库扫描软件)/DatabaseScanner
     
    代码安全:扫描(fortify)
  • 相关阅读:
    Qt 学习 之 二进制文件读写
    QT学习 之 文本文件读写
    Qt学习 之 文件
    QT学习 之 三维饼图绘制
    Haskell 笔记(四)函数系统
    QT学习 之 事件与事件过滤器(分为五个层次)
    Qt学习 之 数据库(支持10种数据库)
    Qt5制作鼠标悬停显示Hint的ToolTip
    【码云周刊第 32 期】程序员眼中的 Vue 与 Angular !
    Qt学习 之 多线程程序设计(QT通过三种形式提供了对线程的支持)
  • 原文地址:https://www.cnblogs.com/emily-qin/p/8042335.html
Copyright © 2020-2023  润新知