APP本地服務安全性測試

標籤：黑白名單   木馬   機制   logs   通訊錄   訊息中介軟體   問題：   start   bsp   

一、安全性測試基本分類：1、系統安全系統加固安全強化：比如linux中關閉telnet連接埠，修改ssh連接埠檢測一些不必要的服務（需要卸載一個ping）--保證系統的最小集app安全強化：加一層外殼補丁訊息中介軟體：activityMQ,rabbitMQ,safMQ(關閉頁面，非業務連接埠，預設使用者)防火牆規則（iptables）防病毒2、應用安全（安裝包，服務，業務）----使用者（人和服務）口令、敏感資訊（1）黑白名單（IP：port）----存取控制（2）訊息層面：資料加密和簽名（3）密碼編譯演算法的安全性（對稱、非對稱）3、管理安全業務層面：面向普通使用者管理層面：管理節點建立虛擬機器（對資源的管理，虛擬機器建立成功後進行提供業務）運營層面：對業務的處理營運層面：針對管理員（線上，線下）4、網路安全：關注資料轉送安全（資料來源頭和目的），是否加密，檢測資料的正確性和一致性（有無偽造）（傳輸）----加密（hppts+ssl）不是重點關注的：丟包後的處理 資料一致性（udp）5、雲安全性測試A使用者--安全性群組AB使用者--安全性群組B（1）將A進入B，或者將B加入A（2）規則：a->b(ip/udp/icmp) b->a 單通 多通 安全：1、硬體防火牆，交換器2、軟體 二、app本地服務安全性測試問題1：app當前的現狀，會遇到哪些安全類的問題1、遠端控制（木馬）2、惡意推廣（付費）3、外掛（程式的後門）4、敏感、隱私資訊被竊取5、本地進程注入（四大組件沒有許可權控制）6、釣魚（盜版的應用） 賬戶安全檔案安全：檔案許可權的最小集，檔案是否需要加密，脫敏處理（大資料的清洗） 支付安全：賬戶安全，日誌安全（使用者資訊泄露），資料存放區（加密儲存），安全密碼編譯演算法 進程安全：是否有狀態資源監控，進程管理，指令碼是否安全檔案儲存體：app的四大組件安全（drozer工具）activity：生命週期，服務的機制需要掌握啟動，恢複，停止，完成等各種狀態的切換service:context provider:broadcast:一對一，多對多 1、安裝包安全1.1安裝包是否可以反編譯apk-->dex-->運行反編譯：dex->java->反編譯（user/pwd/password等敏感資訊）編碼：（1）使用者敏感資訊寫入程式碼（2）代碼混淆對於支援反射的語言，代碼混淆有可能與反射發生衝突。代碼混淆並不能真正阻止反向工程，只能增大其難度對於對安全性要求很高的場合，僅僅使用代碼混淆並不能保證原始碼的安全。（3）代碼掃描（fortify）Fortify SCA 是一個靜態、白盒的軟體原始碼安全性測試工具；它通過內建的五大主要分析引擎：資料流、語義、結構、控制流程、配置流等對應用軟體的原始碼進行靜態分析，分析的過程中與它特有的軟體安全性漏洞規則集進行全面地匹配、尋找，從而將原始碼中存在的安全性漏洞掃描出來，並給予整理報告。1.2、安裝包是否有簽名（1）發布前校正簽名使用的key是否正確（2）使用命令：jarsigner –verify –verbose –certs apk包路徑驗證結果：jar已驗證1.3、安裝包是否完整包發布：（1）發布平台下載安裝包（2）安裝包完整性校正：一般採用md5校正方式，通過md5工具和md5密鑰進行校正例如app下載後進行完整性校正1.4、安裝包中申請的許可權問題認證機制：android--manifest.xml中看各個組件的許可權對APP申請的許可權進行檢查，在Android工程的AndroidManifest.xml檔案中查詢申請的許可權，刪除不必要的許可權，例如使用者定位/通訊錄/資訊等許可權，保留APP可用許可權即可 2、磁碟片劫持（1）安全問題：使用者安裝了第三方不可信的鍵盤IME，當涉及到隱私或者金融 類操作時需要應用進行校正提示（2）建議：使用應內部提供的軟鍵盤定期對手機進行病毒掃描 3、賬戶安全（最重要）賬戶分類：使用者賬戶（管理員，普通使用者），服務賬戶（多個服務之間的互動需要使用口令）docker(各種服務，通訊可能是通過訊息組建、設定檔---ip/port/user/password)硬體賬戶（硬體動態庫） （1）密碼是否明文儲存（資料庫/設定檔）（2）密碼密碼編譯演算法是否安全（3）密碼是否加密傳輸（4）是否支援帳號鎖定策略---3次，第四次鎖定（5）是否支援多點登陸（6）登出後不能訪問（session、cookies是否刪除）（7）賬戶許可權控制（縱向越權和橫向越權）縱向越權：一個低層級攻擊者嘗試訪問進階別使用者的資源橫向越權：攻擊者嘗試訪問與他擁有相同許可權的使用者的資源;（不同部門或者不同公司之間）（8）密碼安全要求（長度、字元，數字） 4、檔案安全（1）檔案許可權dwrx 0,0,0 讀，寫，執行使用者、本組、其他組根據業務需要賦予檔案最小許可權（2）檔案內容敏感資訊（使用者名稱、密碼），加密的方法，加密的安全要求包括對外提供的使用者名稱和密碼資訊以及程式內部互動的認證資訊：需要滿足密碼不能是明文，並且需要安全密碼編譯演算法進行加密配置，密碼長度和格式滿足安全要求 檔案上傳和下載：要不要脫敏處理（醫院上傳證件照）傳輸過程中加密完整性校正（hash值校正）檔案儲存體 5、日誌安全（1）業務日誌----交易的流水號，交易的過程（2）系統內部互動日誌 a--->b---->c 記錄整個互動過程debug/interface/run/securitylog.debug(message.toString())----列印所有的資訊（3）統計/審計日誌---系統的入口記錄每分鐘接收的訊息數(4)重點考慮：敏感資訊的儲存（密碼等）（5）日誌管理平台：收集各個系統中的日誌 日誌中不能列印密碼資訊；日誌中不能列印使用者隱私資訊；需要有安全日誌功能；日誌需要有清理機制；日誌不能隨意刪除。 日誌安全的測試手段：自己寫指令碼去掃描記錄檔（user/pwd/password/userName/userpwd）shell/python/search工具 6、進程安全1、啟動（1）許可權問題：win10經常遇到自己運行exe報沒有許可權一般使用普通使用者啟動服務linux:不能使用root使用者啟動服務在start.sh中判斷只能目前使用者啟動（2）啟動過程中資料問題（有時候進程啟動的時候會產生一下臨時檔案，需要考慮臨時檔案中是否涉及安全資訊）啟動過程中的臨時檔案需要刪除（3）啟動完成後對外連接埠啟動在業務網路上，對內連接埠啟動在本網上連接埠的啟動機制問題：當前連接埠有什麼安全風險0.0.0.0 全網監聽，內網的會被外部網路訪問到2、運行（1）運行過程中的緩衝資訊涉及隱私需要加密（2）需要記錄作業記錄（3）運行過程中需要有監控認證運行監控：vcs/hacs----提供守護服務（4）多進程之間的互動需要認證3、停止（1）清理臨時檔案（2）安全斷開相關串連 7、資料存放區/檔案儲存體安全功能：資料完整性；資料備份；容錯與冗餘AI--機器學習（1）資料的重要性---機密性，完整性，防丟失目的：保護機密資料；防止資料丟失；確保資料完整性 python爬蟲：統計從10年到現在當前歌手的歌曲：a:有多少唱季節，春，夏，秋，冬b:多少唱城市的歌曲，成都，北京，上海.....最終產生一個報表（2）.資料的介質（硬體）介質：單個檔案、資料庫、檔案伺服器、快取服務資料庫功能：資料完整性資料存放區：加密儲存存取控制監控機制（服務監控，資料監控）備份恢複（3）資料庫安全DCL DDL DML 資料庫掃描--NGSSquirrel（全球公認的資料庫掃描軟體）/DatabaseScanner 代碼安全：掃描（fortify）

APP本地服務安全性測試