zoukankan      html  css  js  c++  java
  • 【移动安全基础篇】——00、移动应用安全检测清单

    客户端

    • 应用可被进行逆向工程/缺乏代码混淆
    • 跨站脚本攻击
    • 认证绕过
    • 应用代码中存在硬编码敏感信息 (包含秘钥)
    • 恶意文件上传
    • 固定会话攻击
    • 权限提升
    • SQL 注入
    • 双因子认证绕过
    • LDAP 注入
    • 系统命令执行
    • iOS snapshot/backgrounding 漏洞 ( iOS )
    • Debug 设置为 TRUE ( Andriod )
    • 应用使用不安全的加密方式
    • 在SSL 隧道下传递明文信息
    • 客户端验证可被绕过
    • 非法的 SSL 证书
    • 敏感信息明文(缺乏数据保护)传输
    • 登录页面缺乏验证码机制
    • 修改密码页面未设计或设计不当
    • 应用日志文件存放敏感信息
    • 敏感信息作为参数传递
    • 敏感信息可通过内存 Dump
    • 应用允许运行在已root或越狱的设备上
    • 返回刷新 ( Back-and-Refresh ) 攻击
    • 目录浏览
    • Cookie过期机制设计不当
    • URL 重定向攻击
    • 代码中缺乏异常处理机制或设计不当
    • 不安全的应用权限
    • 未确认证书链
    • 内网 IP 泄露
    • 通过修改 RMS/JAR 文件显示 UI
    • 操作过期或已被释放的资源
    • 未设置证书锁定机制 ( Certificate Pinning ) / SSL通信未检查证书有效性
    • 应用关闭后缓存的Cookie或敏感信息未被删除
    • 未使用 ASLR
    • Android ADB 备份漏洞
    • 数据存储未加密的认证信息 (sqlite db)
    • 在 APP 沙盒外存储敏感信息 (在 SDCard 上)
    • 应用数据允许全部权限
    • 秘钥或敏感数据明文存储
    • 证书锁定机制 ( Certificate Pinning ) 绕过
    • 忽略证书验证
    • 忽略 SSL 证书错误
    • Weak Custom Hostname Verifier
    • App/Web 缓存的敏感文件泄露
    • 授权额外权限
    • 使用可被伪造的内容 ( IMEI, UDID ) 进行用户验证
    • 使用不安全或已被弃用的算法
    • 本地文件包含 (可能通过 XSS 漏洞)
    • Android Activity 劫持
    • Android 应用服务劫持
    • Android 广播窃取
    • Android 恶意广播注入
    • 使用设备标识符作为 Session
    • 缺乏和校验或文件篡改检测

    服务器端

    • 响应包返回明文密码
    • 未授权引用内网文件
    • 后端对缺乏会话管理或会话设计不当
    • 跨域脚本漏洞
    • 服务器端缺乏输入验证机制
    • 错误页面泄露敏感信息
    • 应用允许除 GET 和 POST 外的其他 HTTP 方法
    • 跨站伪造请求/服务器端请求伪造
    • Cookie 中未设置 Path、HttpOnly、Secure 属性
    • 应用可被点击劫持或触屏劫持
    • 缺乏适当的超时机制
    总会有不期而遇的温暖. 和生生不息的希望。
  • 相关阅读:
    MFC永久窗口对象与临时窗口对象
    深入理解MFC子类化
    四大图像库:OpenCV/FreeImage/CImg/CxImage
    IPicture总结
    在MFC下实现图像放大镜
    VC实现图片拖拽及动画
    利用COM组件IPicture读取jpg、gif、bmp图片文件数据和显示图片
    tomcat启动时报:IOException while loading persisted sessions: java.io.EOFException的解决方案
    Java配置文件Properties的读取、写入与更新操作
    java读取Properties文件及赋值
  • 原文地址:https://www.cnblogs.com/devi1/p/13486484.html
Copyright © 2011-2022 走看看