[原创]浅谈移动App安全测试
移动互联网很火,就像当年互联网兴起一样,这几天和朋友在沟通交流,谈到一个话题,你们做金融App钱放在你们哪边安全不?会不会你们做的移动App不安全,让人盗了里面的资金,我想了想,然后说这个你估计不了解,我们资金肯定是安全的,前段时间我刚好对App做过一些安全测试,才有信心说这个话,所以今天打算总结下前段时间的成果,算是有个交待。
移动App安全测试与传统软件或是Web安全测试还是有一定区别,必竟偏移动平台,主要是IOS和Android两个大的平台,当然做为移动金融App最重要的是什么?对安全来讲,我想主要还是数据,确切的讲是钱,所以核心App安全测试围绕这个展开;所以我们通过前期的讨论对App安全的检查点,我们重点关注的应用层,针对像传统谈级的主机安全,网络安全,物理层安全不在本次讨论中,所以我也针对这个需求划分了几个大的维度,具体如下:
代码安全(防进程注入检查/防逆向分析/完整性检查等)
本地数据安全(敏感数据是否加密/权限设置/敏感数据存储)
数据传输方法和实现(是否http明文通信/使用https是否绑定证书/密钥管理等)
交易安全(是否有信息泄漏/是否存在权限验证/信息提示完整性)
服务器安全()
二 移动App安全测试工具,如下
apktool
jeb
drozer
burp
fiddler
adb
。。。等