ITPub博客

首页 > IT基础架构 > 应用安全 > APP渗透测试 深入挖掘漏洞以及如何防止攻击

APP渗透测试 深入挖掘漏洞以及如何防止攻击

原创 应用安全 作者:网站安全 时间:2019-12-13 14:54:14 0 删除 编辑

很多公司都有着自己的APP,包括安卓端以及ios端都有属于自己的APP应用,随着互联网的快速发展,APP安全也影响着整个公司的业务发展,前段时间有客户的APP被攻击,数据被篡改,支付地址也被修改成攻击者自己的,损失惨重,通过朋友介绍找到我们SINE安全做APP的安全防护,我们对客户APP进行渗透测试,漏洞检测,等全方位的安全检测。通过近十年的APP安全维护经验来总结一下,该如何做好APP的安全,防止被攻击。

根据我们SINE安全的研究发现,国内大部分的APP应用都存在安全隐患,我们对其进行过安全测试,结果发现百分之40的APP使用的是http来进行数据的传输,包括用户的登录账户与密码,百分之22的用户使用SSL证书来对数据进行加密传输,百分之80的APP应用都使用的明文在存储手机上数据,百分之75的APP没有进行安全加固,由此看来整个移动互联网的APP应用都存在着安全风险,随着移动5G的普及,万物互联的局势将要到来,APP的安全起着重要的作用,速度再快,安全没有保障,出现的用户信息泄露,以及数据篡改等情况的发生,对任何一家企业都是致命的。

如何对APP进行安全测试与安全加固?

我们SINE安全在这里跟大家详细的分享一下,希望能帮到更多APP应用企业。大部分APP都使用的是服务器作为后端,那么我们在APP安全加固的同时,也要做好服务器的安全包括windows,linux系统的安全加固,对服务器的端口进行安全设置,实行端口安全策略只允许APP端与服务器进行通信,拒绝任何外部的IP访问与扫描,同时也要对服务器的SSH,mstsc远程登录做安全身份验证,对服务器做全面的渗透测试,符合信息安全等级保护,与服务器的远程连接可以启用IP安全策略,将IP单独加入白名单,例如:阿里云服务器,可以在阿里云控制台,端口安全,单独放行IP。

网站安全也叫web安全,很多APP都嵌入网站来使用一些接口调用,方便快捷的同时,也要对网站进行安全加固,包括网站的漏洞进行检测,代码人工安全审计,网站木马后门的检测与清除,网站防篡改部署,网站日志安全分析,定期的对网站进行安全巡检等安全工作,自己对安全加固不是太懂的话也可以找专业的网站安全公司来处理,国内SINESAFE,绿盟,启明星辰,都是比较不错的,网站需要启用https协议访问,通过SSL证书来加密APP的数据传输。

APP的代码加密与混淆,APP在开发的同时一定要对代码进行混淆加密,对核心功能包括一些支付功能,都做代码的加密,对APP的每段代码进行人工安全审计,提前检测出APP漏洞进行修复,防止攻击者下载APK逆向进行代码的解密操作,对数据的传输做AES加密,混合多层次的加密与解密,防止通过数据抓包来篡改数据进行POST到API接口,达到篡改数据的目的,有些APP存在一些逻辑功能,都是通过APP数据抓包来实现的,有些APP开发者并没有对一些权限做严格的安全判断与限制,导致可以绕过,直接执行其他账户的操作,像账户的密码修改,资料修改等等。

对APP用户登录做安全认证,增强APP接口的安全,增加身份安全验证,包括人脸以及手机短信验证码,再结合手机设备信息来安全认证,防止恶意登录。在支付的接口做数据传输的双向加密措施,支付网关与APP的服务器IP做绑定,数据做SSL加密传输,AES加密。

很多公司的APP运营者都十分重视APP的安全问题,APP安全了,才能保障整个公司业务的安全,在APP开发阶段应该对APP进行安全测试,包括APP安全渗透,渗透测试服务,APP的逆向破解保护,如果您的APP数据被篡改,用户信息被泄露,肯定是APP存在漏洞,找专业的渗透测试公司来帮您找到APP存在的漏洞,防止攻击扩大化,将损失降到最低。国内比较专业的渗透测试公司,像SINE安全,启明星辰,绿盟,深信服,都是比较专业的,APP安全要从多个方面去入手,服务器安全,网站安全,APP代码,传输加密,接口安全等等方面去深入的安全加固,来增强公司安全团队的安全应急快速响应的能力。


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31542418/viewspace-2668494/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
本人就职于青岛四海通达电子科技有限公司安全部门主管,2005年毕业有青岛科技大学,专业是信息安全,对网站安全,服务器运维,服务器安全防护,有着大量的实战操作经验。

注册时间:2018-06-15

  • 博文量
    98
  • 访问量
    88028