如何对APP应用安全进行漏洞扫描及渗透测试检测

2020-07-22 14:40| 发布者: | 查看: |

  ​现在许多网站和APP在上线之前,都会找安全公司进行渗透测试,目的就是提高产品的安全,防止黑客对产品的漏洞进行渗透攻击,检测网站、APP是否存在漏洞,网站APP越容易受到篡改数据,以及攻击等情况时而发生,近几年移动互联网的快速发展,APP应用,网站也越来越多,网站与与应用APP安全应该要受到重视,因为被黑客渗透攻击时常发生,那如何通过渗透测试对网站与APP应用进行一个安全检测呢?

布尔云安编辑

 

一、黑盒子测试

    ​首先渗透测试是对网站、APP应用进行全面的安全检测与漏洞扫描,模拟黑客的手法对app进行渗透,针对网站、APP存在的漏洞,最后生成对网站、app的渗透测试安全报告书,在没有客户提供的网站源代码以及服务器管理员权限的情况下,从普通的用户访问对网站进行测试。在对客户网站、APP进行渗透测试之前,都需要获取客户的安全授权,授权进行安全渗透测试服务。

二、渗透测试的范围与服务内容都有哪些?

    ​首先从网站、APP入手,从网站来说,大体渗透的范围,对网站的漏洞进行检测,包括SQL注入漏洞,get,post,cookies注入漏洞,延迟注入检测,盲注检测,XSS跨站漏洞检测,分反射XSS,持续性XSS,存储性XSS检测,CSRF漏洞,逻辑漏洞,垂直,平行越权漏洞,文件上传截断绕过漏洞,目录遍历漏洞,URL地址跳转漏洞,代码远程执行漏洞,数据库漏洞,账号弱密码漏洞扫描,任意文件下载漏洞,API接口漏洞检测等;通过检测可以发现存在的漏洞并且每个漏洞造成的危害也不一样。

布尔云安app应用安全检测编辑

 

三、APP应用安全渗透测试从几个方面入手?

    ​包含APP反编译安全测试,APP脱壳漏洞,APP二次打包植入后门漏洞,APP进程安全检测,APP appi接口的漏洞检测,任意账户注册漏洞,短信验证码盗刷,签名效验漏洞,APP加密/签名破解,APP逆向,SO代码函数漏洞,JAVA层动态调试漏洞,代码注入,HOOK攻击检测,内存DUMP漏洞,AES解密测试,反调试漏洞,还有APP功能上逻辑漏洞,越权漏洞,平行垂直,获取任意账户的信息,弱口令漏洞,暴力破解漏洞,JAVA漏洞检查,敏感信息泄露等等。通过每个漏洞合成加以防护,基本上APP应用安全得以保障,但信息技术安全更新迭代是很快的,要不定时的进行检测。

四、网站、APP应用渗透测试前的信息收集

    ​布尔云安在测试前,收集网站信息以及资料,整理的越多越好,有利于更深入的了解你的“敌人”,只有真正的了解了自己,才能知彼知己百战不殆,通过收集的资料,人工+软件辅助的方式对漏洞进行检测,通过发现出来的漏洞以及测试经验进行更进一步的漏洞深挖。最后对渗透测试出的漏洞,以及漏洞修复方案,安全方面建议,整理成详细的安全部署报告,交由甲方公司,对整体的渗透测试内容进行描述,检测出来的漏洞分高中低,漏洞名称,漏洞详情,漏洞利用方式,以及如何才能修复好漏洞,都会在报告中详细的写出,这样才是完整的渗透测试服务,找出漏洞所在,解决产品存在的漏洞忧患。

 

<
>
布尔云安隶属于深圳市布尔信息科技有限公司,成立于2019年9月份,公司创始团队均出身于BAT,已在互联网、云计算行业耕耘多年,公司拥有强大的技术能力,可以为您的业务提供更专业的服务

联系我们

深圳市南山区西丽万科里A座1408

0755-33168399(服务时间:9:00-18:00)

2066565425@qq.com

在线咨询 新浪微博布尔云安官方微博 官方微信布尔云安官方微信

返回顶部