业务安全逻辑问题
年前说得是会更新两篇文章,一篇是《浏览器exp使用经验》,另一篇是《android app安全问题》。第一篇是有更新,第二篇一直也没有更新,在对android app本身安全性有了全面的了解后,觉得似乎没有什么必要来说这个?因为把网络通信这块儿刨开不看,app本身安全问题都比较鸡肋,利用前提是需要通过本地触发,也就是攻击者需要先在受害者手机上安装一个恶意的app,然后再通过这个恶意app去触发其他app的漏洞,可能只有像本地明文存储用户名密码这种漏洞才会对一般app厂商产生点存在感吧,其他情况,大家懂的。
大多数的问题还是在网络通信这一块,和web安全一样,也会存在sql注入、xss、文件上传这种漏洞。当然webview组件的问题,也的确是可以远程触发的,其修复非常简单,更改一下api level就好了。
所以个人觉得,除非是非常非常非常负责的app厂商,app本身所产生的安全问题,存在感都很低。加壳也是,除了工具类app,个人觉得也没啥必要,这点欢迎大家来讨论。
最近半年参与公司对内对外的渗透项目比较多,从基本漏洞发现利用到内网渗透,整个流程也比较熟悉了。这一过程总发现有一类漏洞是比较特别的,那就是:逻辑漏洞。这类漏洞比较隐蔽,扫描器是发现不了的,需要手动仔细分析程序功能。而造成的危害一般也都比较大,直接影响公司业务,比如:越权造成用户财产损失、变更交易金额造成公司直接经济损失等。
最近自己也在整理这一类问题,这里先给个框架,在理解更多的实例之后,再把脑图放出来。
by:会飞的猫