APP本地服务安全测试
新经济100人 2017-12-15
一、安全测试基本分类:
1、系统安全
系统加固
安全加固:比如linux中关闭telnet端口,修改ssh端口
检测一些不必要的服务(需要卸载一个ping)--保证系统的最小集
app安全加固:加一层外壳
补丁
消息中间件:activityMQ,rabbitMQ,safMQ(关闭页面,非业务端口,默认用户)
防火墙规则(iptables)
防病毒
2、应用安全(安装包,服务,业务)----用户(人和服务)口令、敏感信息
(1)黑白名单(IP:port)----访问控制
(2)消息层面:数据加密和签名
(3)加密算法的安全性(对称、非对称)
3、管理安全
业务层面:面向普通用户
管理层面:管理节点创建虚拟机(对资源的管理,虚拟机创建成功后进行提供业务)
运营层面:对业务的处理
运维层面:针对管理员(线上,线下)
4、网络安全:关注数据传输安全(数据源头和目的),是否加密,检测数据的正确性和一致性(有无伪造)
(传输)----加密(hppts+ssl)
不是重点关注的:丢包后的处理 数据一致性(udp)
5、云安全测试
A用户--安全组A
B用户--安全组B
(1)将A进入B,或者将B加入A
(2)规则:a->b(ip/udp/icmp) b->a 单通 多通
安全:
1、硬件
防火墙,交换机
2、软件
二、app本地服务安全测试
问题1:app当前的现状,会遇到哪些安全类的问题
1、远程控制(木马)
2、恶意推广(付费)
3、外挂(程序的后门)
4、敏感、隐私信息被窃取
5、本地进程注入(四大组件没有权限控制)
6、钓鱼(盗版的应用)
账户安全
文件安全:文件权限的最小集,文件是否需要加密,脱敏处理(大数据的清洗)
支付安全:账户安全,日志安全(用户信息泄露),数据存储(加密存储),安全加密算法
进程安全:是否有状态资源监控,进程管理,脚本是否安全
文件存储:
app的四大组件安全(drozer工具)
activity:生命周期,服务的机制需要掌握
启动,恢复,停止,完成等各种状态的切换
service:
context provider:
broadcast:一对一,多对多
1、安装包安全
1.1安装包是否可以反编译
apk-->dex-->运行
反编译:dex->java->反编译(user/pwd/password等敏感信息)
编码:(1)用户敏感信息硬编码
(2)代码混淆
对于支持反射的语言,代码混淆有可能与反射发生冲突。
代码混淆并不能真正阻止反向工程,只能增大其难度
对于对安全性要求很高的场合,仅仅使用代码混淆并不能保证源代码的安全。
(3)代码扫描(fortify)
Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具;
它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。
1.2、安装包是否有签名
(1)发布前校验签名使用的key是否正确
(2)使用命令:jarsigner –verify –verbose –certs apk包路径
验证结果:jar已验证
1.3、安装包是否完整
包发布:
(1)发布平台下载安装包
(2)安装包完整性校验:一般采用md5校验方式,通过md5工具和md5密钥进行校验
例如app下载后进行完整性校验
1.4、安装包中申请的权限问题
认证机制:android--manifest.xml中看各个组件的权限
对APP申请的权限进行检查,在Android工程的AndroidManifest.xml文件中查询申请的权限,删除不必要的权限,例如用户定位/通讯录/信息等权限,保留APP可用权限即可
2、软盘劫持
(1)安全问题:
用户安装了第三方不可信的键盘输入法,当涉及到隐私或者金融 类操作时需要应用进行校验提示
(2)建议:
使用应内部提供的软键盘
定期对手机进行病毒扫描
3、账户安全(最重要)
账户分类:
用户账户(管理员,普通用户),
服务账户(多个服务之间的交互需要使用口令)
docker(各种服务,通信可能是通过消息组建、配置文件---ip/port/user/password)
硬件账户(硬件动态库)
(1)密码是否明文存储(数据库/配置文件)
(2)密码加密算法是否安全
(3)密码是否加密传输
(4)是否支持账号锁定策略---3次,第四次锁定
(5)是否支持多点登陆
(6)注销后不能访问(session、cookies是否删除)
(7)账户权限控制(纵向越权和横向越权)
纵向越权:一个低级别攻击者尝试访问高级别用户的资源
横向越权:攻击者尝试访问与他拥有相同权限的用户的资源;(不同部门或者不同公司之间)
(8)密码安全要求(长度、字符,数字)
4、文件安全
(1)文件权限
dwrx 0,0,0 读,写,执行
用户、本组、其他组
根据业务需要赋予文件最小权限
(2)文件内容
敏感信息(用户名、密码),加密的方法,加密的安全要求
包括对外提供的用户名和密码信息以及程序内部交互的认证信息:需要满足密码不能是明文,并且需要安全加密算法进行加密配置,密码长度和格式满足安全要求
文件上传和下载:
要不要脱敏处理(医院上传证件照)
传输过程中加密
完整性校验(hash值校验)
文件存储
5、日志安全
(1)业务日志----交易的流水号,交易的过程
(2)系统内部交互日志 a--->b---->c 记录整个交互过程
debug/interface/run/security
log.debug(message.toString())----打印所有的信息
(3)统计/审计日志---系统的入口记录每分钟接收的消息数
(4)重点考虑:敏感信息的存储(密码等)
(5)日志管理平台:收集各个系统中的日志
日志中不能打印密码信息;
日志中不能打印用户隐私信息;
需要有安全日志功能;
日志需要有清理机制;
日志不能随意删除。
日志安全的测试手段:
自己写脚本去扫描日志文件(user/pwd/password/userName/userpwd)
shell/python/search工具
6、进程安全
1、启动
(1)权限问题:win10经常遇到自己运行exe报没有权限
一般使用普通用户启动服务
linux:不能使用root用户启动服务
在start.sh中判断只能当前用户启动
(2)启动过程中数据问题(有时候进程启动的时候会生成一下临时文件,需要考虑临时文件中是否涉及安全信息)
启动过程中的临时文件需要删除
(3)启动完成后对外端口启动在业务网络上,对内端口启动在本地网络上
端口的启动机制
问题:当前端口有什么安全风险
0.0.0.0 全网监听,内网的会被外部网络访问到
2、运行
(1)运行过程中的缓存信息涉及隐私需要加密
(2)需要记录运行日志
(3)运行过程中需要有监控认证
运行监控:vcs/hacs----提供守护服务
(4)多进程之间的交互需要认证
3、停止
(1)清理临时文件
(2)安全断开相关连接
7、数据存储/文件存储安全
功能:数据完整性;数据备份;容错与冗余
AI--机器学习
(1)数据的重要性---机密性,完整性,防丢失
目的:保护机密数据;防止数据丢失;确保数据完整性
python爬虫:统计从10年到现在当前歌手的歌曲:
a:有多少唱季节,春,夏,秋,冬
b:多少唱城市的歌曲,成都,北京,上海.....
最终生成一个报表
(2).数据的介质(硬件)
介质:单个文件、数据库、文件服务器、缓存服务
数据库
功能:数据完整性
数据存储:加密存储
访问控制
监控机制(服务监控,数据监控)
备份恢复
(3)数据库安全
DCL DDL DML 数据库扫描--NGSSquirrel(全球公认的数据库扫描软件)/DatabaseScanner
代码安全:扫描(fortify)
