APP渗透测试检查-checklist
为完整学习App渗透知识,特地手抄一份app渗透checklist,在后续的学习过程中,会根据学习内容不断完善这篇文章!
| 大项 | 功能 | 组件 | 测试项 |
|---|---|---|
| 业务安全 | 用户登录 | 检测用户登录过程中是否需要输入用户名和密码 |
| 检测是否有密码尝试次数限制,限制策略是否安全 | ||
| 检测是否存在密码或账户登录错误提示混淆的问题 | ||
| 是否存在记住用户名或密码 | ||
| 是否有错误信息提示 | ||
| 是否提示用户名错误 | ||
| 是否提示用户名或密码错误 | ||
| 是否提示密码错误 | ||
| 是否有验证码确认用户信息 | ||
| 是否有支付功能 | ||
| 支付密码和账户是否使用同一键盘进行输入 | ||
| 支付过程是否可以截图 | ||
| 是否含有敏感信息的输入 | ||
| 对于铭感信息是否完整的显示出来 | ||
| 程序进入后台是否会有提示 | ||
| 密码管理 | 检测密码输入是否使用安全键盘 | |
| 检测密码是否有强度要求 | ||
| 检测密码是否本地存储 | ||
| 检测密码是否加固传输 | ||
| 测试登录免密、支付密码等不同类型密码是否采取不同的安全级别管理 | ||
| 检测是否能够使用弱密码 | ||
| 检测使用弱安全密码时程序是否使用安全策略保证密码安全 | ||
| 检测密码找回策略是否存在安全隐患 | ||
| 支付安全 | 检测是否有支付密码保护 | |
| 检测支付行为发生时是否有检测环境清场检测 | ||
| 检测是否有支付密码试错次数限制 | ||
| 身份认证 | 检测在安全级别要求较高的应用场景是否有除密码之外的安全认证机制,安全认证机制是否起到保护效果 | |
| 超时设置 | 检测是否有会话超时机制,超时后重鉴别 | |
| 异常处理 | 检测在软件操作异常时是否有异常处理机制,错误提示信息是否泄露敏感信息 | |
| 组件安全 | Activity安全 | 检测Activity是否会被权限劫持 |
| 检测Activity是否会被劫持 | ||
| 检测Activity跳转时传输的数据是否安全 | ||
| 检测Activity结束运行后是否遗漏敏感数据 | ||
| 检测Activity是否有被启动者身份(防止被第三方程序恶意启动) | ||
| Broadcast Receiver安全 | 检测Broadcast Receiver是否会被权限攻击 | |
| 检测Broadcast Receiver是否会被监听、劫持 | ||
| 检测Broadcast Receiver是否有被启动者身份认证(防止被第三方程序恶意启动) | ||
| Service安全 | 检测Service是否会被权限劫持 | |
| 检测Service是否会被劫持 | ||
| 检测Service跳转时传输的数据是否安全 | ||
| 检测Service结束运行后是否遗漏敏感数据 | ||
| 检测Service是否有被启动者身份认证(防止被第三方程序恶意启动) | ||
| Content Provider安全 | 检测Content Provider是否会被权限攻击 | |
| 检测Content Provider是否存在泄露隐私数据风险 | ||
| 检测Content Provider执行源码是否暴露 | ||
| Intent安全 | 检测Intent是否会被权限攻击 | |
| 检测Intent是否泄露隐私数据 | ||
| WebView安全 | WebView安全 | 检测HTML5和WebView组件是否存在代码注入漏洞 |
| 检测WebView.load的第三方H5还是自身提供的H5 | ||
| 检测WebView是否使用系统已经被暴露风险的函数(已知漏洞) | ||
| 发布规范 | 测试数据移除 | 检测发布应用中是否包含不应包含的测试代码 |
| 检测发布应用中测试数据是否暴露隐私数据信息 | ||
| 日志信息移除 | 检测发布应用中是否包含不应该包含的日志信息 | |
| 检测发布版本测试日志信息是否正常输出 | ||
| 安全合规 | 检测应用是否符合国家相关安全标准 | |
| 安全增强 | 权限管理 | 是否存在权限溢出问题 |
| 是否存在串谋攻击隐患 | ||
| 输入检测 | 是否存在客户端注入问题 | |
| 是否存在输入数据被拦截或泄露等问题 | ||
| 键盘记录 | 是否存在键盘记录隐患 | |
| 键盘是否能够被注入钩子 | ||
| 界面劫持 | 用户在进行敏感信息输入时是否存在界面劫持和截屏问题 | |
| 模拟器检测 | 检测应用是否可以运行在模拟器环境中 | |
| 检测应用运行在危险的模拟器环境中程序是否能够进行运行 | ||
| 进程保护 | 检测应用是否具备抵抗进程注入的能力 | |
| 动态调试 | 检测程序是否具备抵抗动态调试的能力(Java层和Native层) | |
| 第三方SDK安全 | 检测App中使用的第三方SDK是否存在安全隐患 | |
| 检测App中使用的第三方SDK是否存在潜在后面 | ||
| 检测App中使用的第三方SDK性能、兼容、功能是否存在潜在隐患 | ||
| AndroidManifest配置 | 检测AndroidManifestt.xml中是否有不安全的配置,如allowBackup、debuggable等 | |
| 程序完整性 | 程序签名 | 检测程序是否进行签名校验,签名校验是否会被绕过 |
| 检测程序签名是否使用独立的签名文件而非使用系统签名文件 | ||
| 完整性校验 | 检测程序是否进行签名校验,签名校验是否会被绕过 | |
| 检测程序是否进行签名校验,签名校验是否会被绕过 | ||
| 程序机密性 | 代码混淆 | 检测程序是否进行代码混淆 |
| Dex保护 | 检测程序可执行文件Dex是否做加固处理 | |
| SO保护 | 检测程序的本地库文件是否做加固处理 | |
| 资源文件保护 | 检测程序的资源文件是否做加固处理 | |
| 内存保护 | 检测程序运行时内存空间是否有安全保护 | |
| 重要函数逻辑安全 | 检测程序运行时重要函数是否有安全保护 | |
| 硬编码 | 检测程序是否存在硬编码问题 | |
| WebView | 如果程序使用混合(Hybrid)编程,检测JS功能函数是否进行代码混淆和加固 | |
| 数据输入 | 敏感数据显示 | 检测敏感数据(如用户密码)输入时软件界面是否为非明文显示 |
| 输入监听 | 检测用户进行输入操作时,输入的数据是否会被其他终端或其他城西非授权获取 | |
| 数据存储 | 存储数据类别 | 检测是否本地保存手机号、密码等敏感信息,程序应尽可能少的存储用户的敏感数据 |
| 数据访问控制 | 检测数据是否仅被授权用户或应用进程访问 | |
| 敏感数据加固 | 检测是否对口令、密码、银行卡号等已本地保存的敏感信息进行加固处理,加固强度是否到达要求 | |
| 内存数据安全 | 检测程序在运行过程中,内存中是否保存敏感数据,敏感数据是否进行加固处理,加固强度是否达到要求 | |
| 数据传输 | 远程数据通讯协议 | 检测程序与服务器通信过程中,敏感数据是否选择SSL/TLS或IPSec等安全通信协议 |
| 证书验证 | 检测程序与服务器的通信是否有证书,是否有证书合法性和一致性校验 | |
| 远程数据通信加固 | 检测程序与服务器通信的敏感数据是否进行加固处理,加固强度是否达到要求 | |
| 数据传输完整性 | 检测程序与服务器通信的敏感数据是否进行完整性校验,防止数据传输中断或被篡改 | |
| 本地数据通讯安全 | 检测程序与本地其他应用进程间的数据传输是否采取加固处理和权限控制 | |
| 会话安全 | 检测程序session的安全性 | |
| 重放攻击 | 检测应用软件与服务器通信报文被第三方嗅探后是否可以进行重放攻击 | |
| 数据输出 | 调试信息 | 检测应用运行时是否有调试信息输出,调试信息是否包含敏感数据 |
| 检测应用运行时输出的异常数据是否泄露隐私 | ||
| 敏感信息显示 | 检测应用对敏感细腻些进行显示(账号、密码、身份证号等)时是否对部分字段进行屏蔽 | |
| 检测应用在进行界面切换后,前一界面的敏感信息是否被清空 | ||
APP渗透测试检查-checklist相关推荐
- 网络安全进阶篇(十一章-5)APP渗透测试篇(上)
每日一句:渗透测试,一定要有耐心,所有的功能点都要测试.很多地方不亲身经历是没有太多的感受的. 一.App渗透测试原理 1.简介App渗透测试与Web渗透测试从某种角度说基本没有区别App其实就是手机 ...
- 网络安全进阶篇(十一章-7)APP渗透测试篇(下)
每日一句:重启可以解决很多问题,如虚拟机问题,模拟器问题等等,本文章的一些操作不成功的话,重启试试 一.快速自建一个App 1.App难写吗?(1) ~问:我不懂Java我能写App吗? 答:我觉得大 ...
- 【APP渗透测试】 Android APP渗透测试技术实施以及工具使用(客户端服务端)
文章目录 前言 一.安全威胁分析 二.主要风险项 三.Android测试思维导图 四.反编译工具 五.Android客户端 漏洞一.Jnaus漏洞 漏洞二.数据备份配置风险漏洞 漏洞三.Activit ...
- APP渗透测试准备(一)
APP渗透测试准备(一) 文章目录 APP渗透测试准备(一) 环境准备 安装adb 安装frida frida hook实例 环境准备 Windows10 X64 Python 3.7 OppoR9s ...
- APP渗透测试通过burp抓取https包
目录 0x01 前言 0x02 工具的准备 0x03 搭建流程 1.1 安装夜神模拟 1.2 配置burpsuite监听的ip及端口 1.3 夜神模拟器安装证书 1.4 夜神模拟器开启代理模式 1. ...
- aap渗透_某app渗透测试
某 APP 渗透测试 Author :村长 Email:codier@qq.com Blog:codier.cn 比较详细 , 大牛轻喷. 0x001. 下载 app 安装了之后,挂个代理.分析之后, ...
- 渗透测试基础 - APP渗透测试(上)
渗透测试基础- APP渗透测试(上) 简介 抓取手机数据包 实战APP渗透测试 漏洞总结 只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来.我们一起为了遇见更好的自己而努力
- app渗透测试抓不到数据包怎么办?
1.app渗透测试常见的模拟器有夜神,闪电模拟器等. 2.遇到问题,数据包抓不到? (1)最常见的解决方法调低模拟器安卓版本,使用MuMu模拟器,大部分app都适用,但是也有些app无法抓取. (2) ...
- Burp Suite抓包夜神模拟器与安装证书完整版!(APP渗透测试)
burp抓夜神模拟器包,用来做APP渗透测试等.(其他的模拟器也是这样) 看网上的都比较乱,就自己写一个吧. 一.下载夜神模拟器和burp 夜神官网:https://www.yeshen.com/ b ...
最新文章
- Uber提出损失变化分配方法LCA,揭秘神经网络“黑盒”
- oracle procedures批量删除带索引条件数据很慢_见微知著,数据库应用设计优化浅谈...
- 《2022城市大脑建设标准研究报告》在京正式发布
- ps 2c语言程序,C语言基础(二)
- K8s之ControllerRateLimiter简单理解
- jpa 根据主键生成策略获取id_JPA主键生成策略
- 四种有能力取代Cookies的客户端Web存储方案
- Exchange 2016之用EMS配置全局OWA语言和时区设置
- /proc/sysrq-trigger文件的强大功能 shell
- 【贪心】【AOJ-5】渊子赛马
- Java编程思想(五) —— 多态(下)
- 查询硬盘序列号的方法
- vba 涉及合并取消合并单元格
- 压缩包文件打开密码如何破解
- 印度影星沙鲁克-罕简介
- C++ Guaranteed Copy Elision
- RWEQ模型土壤风蚀模数估算及其变化归因分析实践技术
- VSCode的一些小操作
- 小白从零开始搭建阿里云服务器
- vs2019生成dll,并调用
热门文章
- 易流科技数字食安聚焦校园食品安全问题
- WPS Office之PPT进阶技能应用-陈慧-专题视频课程
- 智慧环卫管理系统方案/APP/小程序/公众号/网站
- flask+echarts+pyecharts+layui+bootstrap+爬虫 flask快速搭建学习
- step 文件在sw怎么编辑_STEP格式是什么文件?用SolidWorks能打开step文件吗?
- 在电脑上下载一些平台上视频的方法
- Tradesy | IT桔子
- 嵌入式开发八大入门的知识点
- class在python中的意思_Python中类的理解,Class
- tq210 开发板 刷linux,TQ210 安装samba服务器和交叉编译链