應(yīng)用安全滲透測試白皮書

滲透測試白皮書滲透測試白皮書目錄1. 國內(nèi)信息安全情況概述 51.1國內(nèi)APP安全環(huán)境簡述 52.1滲透測試工作的必要性 62.2滲透測試工作的作用與收益 61.3. 滲透測試方式說明 71.3.1. 自動測試 71.3.2. 手動測試 71.4. 滲透測試服務(wù)的獨立性 92. APP滲透測試服務(wù)模式說明 102.1. 評估思路 102.2. 測試方式 102.2.1. 靜態(tài)測試 102.2.2. 動態(tài)測試 102.2.3. 服務(wù)端測試 112.3. 測試模式 112.3.1. 黑盒測試 112.4. 滲透測試服務(wù)流程 112.4.1. 實施方案制定&及時的客戶交流 122.4.2. 目標(biāo)系統(tǒng)信息收集&分析 122.4.3. 取得權(quán)限&提升權(quán)限 132.4.4. 報告制作 133. 移動APP安全滲透測試檢查項說明 143.1. iOS端滲透測試項說明 143.1.1. iOS端-移動客戶端程序安全 143.1.2. iOS端-敏感信息 153.1.3. iOS端-密碼軟鍵盤安全性 173.1.4. iOS端-安全策略 183.1.5. iOS端-手勢密碼安全性 193.1.6. iOS端-進程 203.1.7. iOS端-保護機制 203.1.8. iOS端-通信安全 213.1.9. iOS端-業(yè)務(wù)安全 223.2. Android端滲透測試項說明 253.2.1. Android端-移動客戶端程序安全 253.2.2. Android端-組件安全 273.2.3. Android端-敏感信息安全 303.2.4. Android端-數(shù)據(jù)存儲 313.2.5. Android端-密碼軟鍵盤安全性 323.2.6. Android端-安全策略 333.2.7. Android端-手勢密碼安全性 343.2.8. Android端-進程 353.2.9. Android端-通信安全 363.2.10. Android端-業(yè)務(wù)安全 373.3. APP滲透案例展示 403.3.1. 通過逆向APP找到測試地址： 403.3.2. 通過逆向APP編寫解密程序 413.3.3. 本地數(shù)據(jù)庫數(shù)據(jù)明文存儲 424. 滲透測試輸出報告 445. 安全服務(wù)承諾 456. 滲透測試服務(wù)的特點 467. 附錄A：典型APP安全風(fēng)險簡介 487.1. WebView命令執(zhí)行簡介 487.2. 組件安全簡介 487.3. 密鑰硬編碼簡介 488. 附錄B：典型APP移動端漏洞測試工具簡介 508.1. AndroidStudio安卓開發(fā)調(diào)試平臺 508.2. MobSF移動App自動分析測試平臺 508.3. Drozer安卓App漏洞利用測試平臺 508.4. Jeb/jd-gui安卓逆向工具 508.5. 內(nèi)存輔助工具MemSpectorPro／DDMS／Cheatengine 518.6. apktool反編譯 51

國內(nèi)信息安全情況概述1.1國內(nèi)APP安全環(huán)境簡述用戶下載安裝APP渠道70%來自安卓應(yīng)用商店，隨著國內(nèi)手機廠商也自己獨立運營應(yīng)用商店，國內(nèi)大大小小應(yīng)用商店超過100家，隨之而來的安全隱患也大大增加。部分第三方渠道的審核機制較為寬松，應(yīng)用上架快，因此也成為惡意操作者進行非法行為的重點對象。黑客可下載正常軟件，并對其進行二次打包，將木馬病毒嵌入其中，然后重新投放到應(yīng)用市場，而用戶下載后渾然不知。除了傳統(tǒng)的病毒、木馬威脅，還有廣義上的安全俗稱泛安全，泛安全范圍包括漏洞、隱私、兼容性、山寨應(yīng)用、流氓廣告等，今天主要對山寨應(yīng)用的惡意行為科普下，山寨應(yīng)用就是對官方正版的APP進行篡改，加入一些惡意代碼從而非法謀取利益，這類APP其最終目的就是打著官方的旗號坑蒙拐騙，用戶僅從名稱和圖標(biāo)上是無法辨別的，使而山寨應(yīng)用演變成各種作惡行為。

滲透測試簡介滲透測試是完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對目標(biāo)系統(tǒng)的安全作深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。滲透測試能夠直觀的讓管理人員知道自己網(wǎng)絡(luò)所面臨的問題。滲透測試是一種非常專業(yè)的安全服務(wù)。2.1滲透測試工作的必要性滲透測試?yán)镁W(wǎng)絡(luò)安全掃描器、專用安全測試工具和富有經(jīng)驗的安全工程師的人工經(jīng)驗對網(wǎng)絡(luò)中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、防火墻等進行非破壞性質(zhì)的模擬黑客攻擊，目的是侵入系統(tǒng)并獲取機密信息并將入侵的過程和細(xì)節(jié)產(chǎn)生報告給用戶。滲透測試和工具掃描可以很好的互相補充。工具掃描具有很好的效率和速度，但是存在一定的誤報率和漏報率，并且不能發(fā)現(xiàn)高層次、復(fù)雜、并且相互關(guān)聯(lián)的安全問題；滲透測試需要投入的人力資源較大、對測試者的專業(yè)技能要求很高（滲透測試報告的價值直接依賴于測試者的專業(yè)機能及技能），但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強、更深層次的弱點。2.2滲透測試工作的作用與收益技術(shù)安全性的驗證滲透測試作為獨立的安全技術(shù)服務(wù)，其主要目的就在于驗證整個目標(biāo)系統(tǒng)的技術(shù)安全性，通過滲透測試，可在技術(shù)層面定性的分析系統(tǒng)的安全性。查找安全隱患點滲透測試是對傳統(tǒng)安全弱點的串聯(lián)并形成路徑，最終通過路徑式的利用而達到模擬入侵的效果。所以，在滲透測試的整個過程中，可有效的驗證每個安全隱患點的存在及其可利用程度。安全教育滲透測試的結(jié)果可作為內(nèi)部安全意識的案例，在對相關(guān)的接口人員進行安全教育時使用。安全技能的提升一份專業(yè)的滲透測試報告不但可為用戶提供作為案例，更可作為常見安全原理的學(xué)習(xí)參考。滲透測試方式說明自動測試自動測試是指借助系統(tǒng)和應(yīng)用掃描工具對站點的系統(tǒng)層和應(yīng)用層進行全面的安全掃描，以此種方法來檢測目標(biāo)系統(tǒng)中是否包含已知的安全問題。因自動測試的方式借助了自動化的掃描工具，因此其優(yōu)點在于檢測速度較快，而且對已知漏洞的檢測也較為全面。而它的缺點也顯而易見：自動化工具對于某些特殊的信息無法實現(xiàn)自動甄別一些復(fù)雜的客戶端腳本無法完全實現(xiàn)自動檢測一些具有較強邏輯性的業(yè)務(wù)無法通過自動化工具實現(xiàn)檢測自動化工具均無法避免誤報手動測試手動測試作為自動測試的一種補充，是滲透測試過程中必不可少的一個重要部分，但因手動測試由測試人員發(fā)起，因此，測試人員的個人技能和經(jīng)驗直接影響手動測試的結(jié)果。一般手動測試主要涵蓋以下幾個方面：對自動測試結(jié)果的驗證自動化檢測工具難免存在誤報，因此，手動測試過程中需要篩選自動化檢測結(jié)果中的誤報，同時還要對正確告警的結(jié)果進行驗證和再利用，以確認(rèn)其危險程度與自動掃描結(jié)果一致個性化頁面信息的人工甄別多數(shù)自動化測試工具，其檢測條件都是以頁面返回頁面中的關(guān)鍵字或HTTP狀態(tài)值作為判斷條件，而某些經(jīng)過精心構(gòu)造的個性化頁面，其返回內(nèi)容可能無法完全由自動化工具進行判斷，因此，針對這樣的站點就需由人工進行手動測試JavaScript測試隨著WEB2.0的興起，JavaScript被很多站點大量使用，而自動化掃描工具對JavaScript腳本的解析能力不強，在自動掃描過程中難免遺漏，因此，手動測試中，測試人員需對那些自動化掃描工具無法解析的、含有JavaScript腳本的頁面進行二次測試，以檢測其安全性。提交數(shù)據(jù)的精細(xì)化測試自動化測試過程中，在對提交數(shù)據(jù)進行構(gòu)造時，其構(gòu)造方式均遵循一定的規(guī)律，而手動測試則可避免這樣的問題出現(xiàn)，因此，某些可從本地構(gòu)造惡意數(shù)據(jù)并提交測試的頁面，也需在手動測試過程中進行深度測試。業(yè)務(wù)邏輯的安全測試業(yè)務(wù)邏輯相對來說與程序本身關(guān)系不大，因此，無論使用什么的自動化檢測工具都無法檢測業(yè)務(wù)邏輯的正確與否，所以，這部分就需要人工檢測過程中，先對已有業(yè)務(wù)邏輯進行分析判斷，然后再結(jié)合測試人員的經(jīng)驗對業(yè)務(wù)邏輯安全性進行必要的檢測。由此可見，手動測試會在深度與廣度兩方面彌補自動化測試的不足，是保障滲透測試質(zhì)量的一個重要手段，也是滲透測試的精髓所在。滲透測試服務(wù)的獨立性如上所述，滲透測試可以作為風(fēng)險評估的一部分，但它也具有獨立性，換言之，滲透測試本身可以獨立于風(fēng)險評估而存在。滲透測試作為獨立的安全服務(wù)時，其工作內(nèi)容及效果與作為風(fēng)險評估中的一部分工作并不存在明顯差異，但相對整體的風(fēng)險評估來說，滲透測試作為獨立的一項安全服務(wù)時，其所能涵蓋和涉及的內(nèi)容相對較少，但相對的，其效果也更具備針對性。因此，對于迫切需要驗證整體系統(tǒng)技術(shù)安全性而又不需要大規(guī)模風(fēng)險評估的情況下，可選擇滲透測試服務(wù)。

APP滲透測試服務(wù)模式說明評估思路移動APP面臨的威脅風(fēng)起云涌的高科技時代，隨著智能手機和iPad等移動終端設(shè)備的普及，人們逐漸習(xí)慣了使用應(yīng)用客戶端上網(wǎng)的方式，而智能終端的普及不僅推動了移動互聯(lián)網(wǎng)的發(fā)展，也帶來了移動應(yīng)用的爆炸式增長。在APP安全測試實例中，APP安全評估集中在7個方面：敏感信息安全、認(rèn)證鑒權(quán)、能力調(diào)用、資源訪問、通信安全、鍵盤輸入及反逆向。測試方式靜態(tài)測試1）簽名檢查2）應(yīng)用權(quán)限3）文件分析4）反編譯5）調(diào)試開關(guān)6）二次打包動態(tài)測試1）數(shù)據(jù)文件2）調(diào)試信息3）組件通信4）網(wǎng)絡(luò)通信5）鍵盤測試6）截屏測試服務(wù)端測試1）認(rèn)證2）密碼管理3）會話管理4）權(quán)限控制5）注入6）跨站測試模式黑盒測試黑盒測試愿意是指，把程序看作一個不能打開的黑盒子，在完全不考慮程序內(nèi)部結(jié)構(gòu)和內(nèi)部特性的情況下，通過測試來檢測每個功能是否都能正常使用。在滲透測試中，黑盒測試則是指，測試人員在僅獲得目標(biāo)的IP地址或域名信息的情況下，對目標(biāo)系統(tǒng)發(fā)起模擬入侵的嘗試。滲透測試服務(wù)流程滲透測試的服務(wù)流程如下：滲透測試流程圖實施方案制定&及時的客戶交流客戶書面授權(quán)委托，并同意實施方案是進行滲透測試的必要條件。滲透測試首先必須將實施方法、實施時間、實施人員，實施工具等具體的實施方案提交給客戶，并得到客戶的相應(yīng)書面委托和授權(quán)。應(yīng)該做到客戶對滲透測試所有細(xì)節(jié)和風(fēng)險的知曉、所有過程都在客戶的控制下進行。這也是專業(yè)滲透測試服務(wù)與黑客攻擊入侵的本質(zhì)不同。目標(biāo)系統(tǒng)信息收集&分析信息收集是每一步滲透攻擊的前提，通過信息收集可以有針對性地制定模擬攻擊測試計劃，提高模擬攻擊的成功率，同時可以有效的降低攻擊測試對系統(tǒng)正常運行造成的不利影響。信息收集的方法包括PingSweep、DNSSweep、DNSzonetransfer、操作系統(tǒng)指紋判別、應(yīng)用判別、賬號掃描、配置判別等。信息收集常用的工具包括商業(yè)網(wǎng)絡(luò)安全漏洞掃描軟件（Websoc等），免費安全檢測工具（如，NMAP、NESSUS等）。操作系統(tǒng)內(nèi)置的許多功能（如,TELNET、NSLOOKUP、IE等）也可以作為信息收集的有效工具。取得權(quán)限&提升權(quán)限通過初步的信息收集分析，存在兩種可能性，一種是目標(biāo)系統(tǒng)存在重大的安全弱點，測試可以直接控制目標(biāo)系統(tǒng)；另一種是目標(biāo)系統(tǒng)沒有遠(yuǎn)程重大的安全弱點，但是可以獲得普通用戶權(quán)限，這時可以通過該普通用戶權(quán)限進一步收集目標(biāo)系統(tǒng)信息。接下來盡最大努力取得超級用戶權(quán)限、收集目標(biāo)主機資料信息，尋求本地權(quán)限提升的機會。這樣不停的進行信息收集分析、權(quán)限提升的結(jié)果形成了整個的滲透測試過程。報告制作滲透測試之后會提供一份滲透測試報告，滲透測試報告將會十分詳細(xì)的說明滲透測試過程中的得到的數(shù)據(jù)和信息、并且將會詳細(xì)的紀(jì)錄整個滲透測試的全部操作。

移動APP安全滲透測試檢查項說明隨著運營商新技術(shù)新業(yè)務(wù)的發(fā)展，運營商集團層面對安全的要求有所變化，滲透測試工作將會面臨內(nèi)容安全、計費安全、客戶信息安全、業(yè)務(wù)邏輯及APP等方面的挑戰(zhàn)。隨著運營商自主開發(fā)的移動APP越來越多，這些APP可能并不會通過應(yīng)用市場審核及發(fā)布，其中的安全性將面臨越來越多的挑戰(zhàn)。iOS端滲透測試項說明iOS端-移動客戶端程序安全安裝包簽名漏洞說明：檢測客戶端是否經(jīng)過正確簽名（正常情況下應(yīng)用都應(yīng)該是簽名的，否則無法安裝）。檢測app移動客戶端安裝包是否正確簽名，通過簽名，可以檢測出安裝包在簽名后是否被修改過。危險等級：低應(yīng)用完整性校驗漏洞說明：測試客戶端程序是否對自身完整性進行校驗。攻擊者能夠通過反編譯的方法在客戶端程序中植入自己的木馬，客戶端程序如果沒有自校驗機制的話，攻擊者可能會通過篡改客戶端程序竊取手機用戶的隱私信息。危險等級：中測試步驟： 查找app路徑>pstree|grep‘\.app’修改app路徑下的文件，重新打開程序安全建議：應(yīng)用在提交給AppleStore后其可執(zhí)行文件會被修改，所以開發(fā)時不能將自身Hash硬編碼進程序中。建議應(yīng)用通過Apple的數(shù)字簽名機制來判斷是否被篡改。端口開放漏洞說明：通過監(jiān)聽本地端口作為一個服務(wù)啟動。危險等級：低測試步驟： >lsof-i|grep-Ei'LIST|ESTABLISHED'安全建議：關(guān)閉對應(yīng)端口對端口進行嚴(yán)格控制iOS端-敏感信息UI信息泄漏漏洞說明：檢查移動客戶端的各種功能，看是否存在敏感信息泄露問題。危險等級：低二進制Cookie信息泄漏漏洞說明：Safari瀏覽器和應(yīng)用商店會存儲持久性cookie在cookies.binarycookies.binarycookiereader文件用于備份所有來自cookies.binarycookies的cookie危險等級：低Plists信息泄漏漏洞說明：PropertyList，屬性列表文件，它是一種用來存儲串行化后的對象的文件。屬性列表文件的擴展名為.plist，因此通常被稱為plist文件。文件是xml格式的。Plist文件通常用于儲存用戶設(shè)置，也可以用于存儲捆綁的信息。危險等級：低db數(shù)據(jù)文件漏洞說明：檢查客戶端程序存儲在手機中的配置文件，防止賬號密碼等敏感信息保存在本地。危險等級：低系統(tǒng)日志漏洞說明：檢查客戶端程序存儲在手機中的日志，是否存在敏感信息泄漏。危險等級：低密鑰鏈數(shù)據(jù)漏洞說明：檢查客戶端是否在密鑰鏈（Keychain）中存放明文密碼。危險等級：中敏感信息硬編碼漏洞說明：開發(fā)者將密鑰、第三方憑證硬編碼在代碼、文件中，這樣做會引起很大風(fēng)險。危險等級：中iOS端-密碼軟鍵盤安全性隨機布局軟鍵盤漏洞說明：測試客戶端程序在登錄/交易密碼等輸入框是否使用自定義軟鍵盤，是否滿足鍵位隨機布放要求。危險等級：高鍵盤安全性測試漏洞說明：測試客戶端能否防止鍵盤記錄工具記錄密碼。（當(dāng)使用自定義軟鍵盤時，即可防護）。危險等級：中屏幕錄像測試漏洞說明：測試通過連續(xù)截圖，是否可以捕捉到用戶密碼輸入框的密碼。漏洞地址：危險等級：低iOS端-安全策略密碼復(fù)雜度檢測漏洞說明：測試客戶端是否檢查用戶輸入密碼的強度，是否覆蓋常見的弱口令，以免木馬通過字典攻擊破解用戶密碼。手機銀行的登錄密碼是否與交易密碼不同，是否與銀行卡交易密碼不同。危險等級：低帳戶鎖定策略漏洞說明：測試移動客戶端是否限制登錄嘗試次數(shù)。防止木馬使用窮舉法暴力破解用戶密碼。危險等級：低會話安全設(shè)置漏洞說明：測試移動客戶端在一定時間內(nèi)無操作后，是否會使會話超時并要求重新登錄。超時時間設(shè)置是否合理。危險等級：低界面切換保護漏洞說明：檢查移動客戶端程序在切換到后臺或其他應(yīng)用時，是否能恰當(dāng)響應(yīng)（如清除表單或退出會話），防止用戶敏感信息泄露。危險等級：低帳號登錄限制漏洞說明：測試能否在兩個設(shè)備上同時登錄同一個帳號。危險等級：中安全退出漏洞說明：驗證移動客戶端在用戶退出登錄狀態(tài)時是否會和服務(wù)器進行通信以保證退出的及時性。危險等級：中驗證碼安全性漏洞說明：驗證移動客戶端使用的驗證碼的安全性。危險等級：密碼修改驗證漏洞說明：驗證移動客戶端進行密碼修改時的安全性。危險等級：iOS端-手勢密碼安全性本地信息存儲漏洞說明：檢測移動客戶端在取消手勢密碼時是否會驗證之前設(shè)置的手勢密碼，檢測是否存在其他導(dǎo)致手勢密碼取消的邏輯問題。危險等級：手勢密碼鎖定策略漏洞說明：測試移動客戶端是否存在手勢密碼多次輸入錯誤被鎖定的安全策略。防止木馬使用窮舉法暴力破解用戶密碼。因為手勢密碼的存儲容量非常小，一共只有9！=362880種不同手勢，若手勢密碼不存在鎖定策略，木馬可以輕易跑出手勢密碼結(jié)果，手勢密碼在輸入時通常以a[2][2]這種3*3的二維數(shù)組方式保存，在進行移動客戶端同服務(wù)器的數(shù)據(jù)交互時通常將此二維數(shù)組中數(shù)字轉(zhuǎn)化為類似手機數(shù)字鍵盤的b[8]這種一維形式，之后進行一系列的處理進行發(fā)送。危險等級：iOS端-進程內(nèi)存訪問和修改漏洞說明：通過對移動客戶端內(nèi)存的訪問，木馬將有可能會得到保存在內(nèi)存中的敏感信息（如登錄密碼，帳號等）。測試移動客戶端內(nèi)存中是否存在的敏感信息（卡號、明文密碼等等）。危險等級：動態(tài)注入防護漏洞說明：測試客戶端是否對自身進程進行保護，防止其他應(yīng)用訪問進程內(nèi)存中的敏感信息。危險等級：iOS端-保護機制二進制文件加密漏洞說明：app代碼未保護，可能面臨被反編譯的風(fēng)險。反編譯是將二進制程序轉(zhuǎn)換成人們易讀的一種描述語言的形式。反編譯的結(jié)果是應(yīng)用程序的代碼，這樣就暴露了客戶端的所有邏輯，比如與服務(wù)端的通訊方式，加解密算法、密鑰，轉(zhuǎn)賬業(yè)務(wù)流程、軟鍵盤技術(shù)實現(xiàn)等等。攻擊者可以利用這些信息竊取客戶端的敏感數(shù)據(jù)，包括手機號、密碼；截獲與服務(wù)器之間的通信數(shù)據(jù)；繞過業(yè)務(wù)安全認(rèn)證流程，直接篡改用戶賬號信息；對服務(wù)器接口發(fā)起攻擊等。危險等級：高ASLR漏洞說明：ASLR(AddressSpaceLayoutRandomization)，即地址空間隨機布局。大部分主流的操作系統(tǒng)都已實現(xiàn)了ASLR，以防范對已知地址進行惡意攻擊。iOS從4.3開始支持ASLR，Android從4.0也支持了ASLR機制。ASLR的存在，給iOS系統(tǒng)越獄造成了很大的困難，某些不完美越獄方案就是因為攻破不了或者繞不開ASLR，所以每次重新啟動后地址再度隨機偏移，需要重新進行越獄操作。危險等級：低堆棧溢出漏洞說明：測試客戶端是否對自身進程進行保護，防止其他應(yīng)用訪問進程內(nèi)存中的敏感信息。危險等級：iOS端-通信安全通信加密漏洞說明：驗證移動客戶端和服務(wù)器之前的通信是否強制使用https加密信道。危險等級：中關(guān)鍵數(shù)據(jù)加密和校驗漏洞說明：驗證移動客戶端和服務(wù)器之前的通信是否使用加密通信。危險等級：中證書有效性驗證漏洞說明：驗證移動客戶端和服務(wù)器之間是否存在雙向驗證的機制，同時確認(rèn)此機制是否完善，服務(wù)器是否以白名單的方式對發(fā)包者的身份進行驗證。危險等級：中移動客戶端更新安全漏洞說明：測試移動客戶端自動更新機制是否安全。危險等級：低訪問控制漏洞說明：測試移動客戶端訪問的URL是否僅能由手機移動客戶端訪問。是否可以繞過登錄限制直接訪問登錄后才能訪問的頁面，對需要二次驗證的頁面（如私密問題驗證），能否繞過驗證。危險等級：中iOS端-業(yè)務(wù)安全越權(quán)漏洞說明：通過越權(quán)漏洞可以操縱另外一個帳戶信息危險等級：高SQL注入漏洞說明：通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務(wù)器執(zhí)行惡意的SQL命令危險等級：高XSS漏洞說明：造成XSS漏洞的原因就是，攻擊者的輸入沒有經(jīng)過嚴(yán)格的控制，最終顯示給來訪的用戶，攻擊者通過巧妙的方法注入惡意指令代碼到網(wǎng)頁，使用戶加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁程序。這些惡意網(wǎng)頁程序通常是JavaScript，但實際上也可以包括Java，VBScript，ActiveX，F(xiàn)lash或者甚至是普通的HTML。攻擊成功后，攻擊者可能得到更高的權(quán)限（如執(zhí)行一些操作）、個人網(wǎng)頁內(nèi)容、會話和cookie等各種內(nèi)容。注冊漏洞說明：在各種網(wǎng)站需要訪問權(quán)限時，需要用戶注冊賬戶，此時填寫各種資料的同時會存在各種安全性問題。密碼找回漏洞說明：找回密碼是很多網(wǎng)站都存在的一項功能，同時也可能存在一些安全性問題，常見的找回密碼方式有：郵箱找回密碼、根據(jù)密碼保護問題找回密碼、根據(jù)手機號碼找回密碼等。雖然這些方式都可以找回密碼，但實現(xiàn)方式各不相同。無論是哪種密碼找回方式，在找回密碼時，除了自己的用戶密碼，還可能找回其他用戶的密碼，就存在密碼找回漏洞。危險等級：高登錄漏洞說明：登錄功能可能存在任意登錄、撞庫等安全問題。危險等級：高CSRF漏洞說明：以你名義發(fā)送郵件，發(fā)消息，盜取你的賬號，甚至于購買商品，虛擬貨幣轉(zhuǎn)賬造成的問題包括：個人隱私泄露以及財產(chǎn)安全。危險等級：高SSRF漏洞說明：SSRF(Server-SideRequestForgery：服務(wù)器端請求偽造)是一種有攻擊者構(gòu)造形成有服務(wù)器發(fā)起請求的一個安全漏洞。一般情況下，SSRF攻擊的目標(biāo)是從外網(wǎng)無法訪問的內(nèi)部系統(tǒng)。危險等級：高弱口令漏洞說明：很多網(wǎng)站都有登錄，而面對多個網(wǎng)站設(shè)置不同密碼，似乎很不方便，但是由于用戶不想設(shè)置太復(fù)雜，不方便記住，設(shè)置弱密碼或者跟其它網(wǎng)站密碼一樣才最終導(dǎo)致被黑客暴力破解。危險等級：高XXE漏洞說明：XXEInjection即XMLExternalEntityInjection,也就是XML外部實體注入攻擊.漏洞是在對非安全的外部實體數(shù)據(jù)進?行處理時引發(fā)的安全問題。危險等級：高命令執(zhí)行漏洞說明：由于開發(fā)人員編寫源碼，沒有針對代碼中可執(zhí)行的特殊函數(shù)入口做過濾，導(dǎo)致客戶端可以提交惡意構(gòu)造語句提交，并交由服務(wù)器端執(zhí)行。命令注入攻擊中WEB服務(wù)器沒有過濾類似system()、eval()、exec()等函數(shù)是該漏洞攻擊成功的最主要原因。危險等級：高FFmpeg文件讀取漏洞說明：FFmpeg的是一款全球領(lǐng)先的多媒體框架,支持解碼,編碼,轉(zhuǎn)碼,復(fù)用,解復(fù)用,流媒體,過濾器和播放幾乎任何格式的多媒體文件，解析m3u8文件的時候,解析文件會得到ts流的http地址,我們并不一定非要得到一個視頻文件流,可以是任意url地址,只要符合ffmpeg官方的協(xié)議頭,所以造成了ssrf漏洞。危險等級：中Android端滲透測試項說明Android端-移動客戶端程序安全移動客戶端程序保護漏洞說明：app代碼未保護，可能面臨被反編譯的風(fēng)險。反編譯是將二進制程序轉(zhuǎn)換成人們易讀的一種描述語言的形式。反編譯的結(jié)果是應(yīng)用程序的代碼，這樣就暴露了客戶端的所有邏輯，比如與服務(wù)端的通訊方式，加解密算法、密鑰，轉(zhuǎn)賬業(yè)務(wù)流程、軟鍵盤技術(shù)實現(xiàn)等等。攻擊者可以利用這些信息竊取客戶端的敏感數(shù)據(jù)，包括手機號、密碼；截獲與服務(wù)器之間的通信數(shù)據(jù)；繞過業(yè)務(wù)安全認(rèn)證流程，直接篡改用戶賬號信息；對服務(wù)器接口發(fā)起攻擊等。危險等級：高安裝包簽名漏洞說明：檢測客戶端是否經(jīng)過正確簽名（正常情況下應(yīng)用都應(yīng)該是簽名的，否則無法安裝）。檢測app移動客戶端安裝包是否正確簽名，通過簽名，可以檢測出安裝包在簽名后是否被修改過。危險等級：低數(shù)據(jù)備份漏洞說明：Android2.1以上的系統(tǒng)可為App提供應(yīng)用程序數(shù)據(jù)的備份和恢復(fù)功能，該由AndroidMainfest.xml文件中的allowBackup屬性值控制，其默認(rèn)值為true。當(dāng)該屬性沒有顯式設(shè)置為false時,攻擊者可通過adbbackup和adbrestore對App的應(yīng)用數(shù)據(jù)進行備份和恢復(fù),從而可能獲取明文存儲的用戶敏感信息。危險等級：中應(yīng)用完整性校驗漏洞說明：測試客戶端程序是否對自身完整性進行校驗。攻擊者能夠通過反編譯的方法在客戶端程序中植入自己的木馬，客戶端程序如果沒有自校驗機制的話，攻擊者可能會通過篡改客戶端程序竊取手機用戶的隱私信息。危險等級：中設(shè)備認(rèn)證模擬漏洞說明：若應(yīng)用程序存在設(shè)備綁定功能，當(dāng)賬號與設(shè)備綁定后，應(yīng)檢查用戶登陸過程是否直接采用設(shè)備ID＋用戶ID的方式，或采用固定的設(shè)備公開硬件信息進行計算得到固定的或能夠通過一定的方式進行預(yù)測的ID進行登陸。危險等級：低debug模式漏洞說明：客戶端軟件AndroidManifest.xml中的android:debuggable="true"標(biāo)記如果開啟，可被Java調(diào)試工具例如jdb進行調(diào)試，獲取和篡改用戶敏感信息，甚至分析并且修改代碼實現(xiàn)的業(yè)務(wù)邏輯，我們經(jīng)常使用android.util.Log來打印日志，軟件發(fā)布后調(diào)試日志被其他開發(fā)者看到，容易被反編譯破解。危險等級：高本地端口開放漏洞說明：通常使用PF_UNIX、PF_INET、PF_NETLINK等不同domain的socket來進行本地IPC或者遠(yuǎn)程網(wǎng)絡(luò)通信，這些暴露的socket代表了潛在的本地或遠(yuǎn)程攻擊面，歷史上也出現(xiàn)過不少利用socket進行拒絕服務(wù)、root提權(quán)或者遠(yuǎn)程命令執(zhí)行的案例。特別是PF_INET類型的網(wǎng)絡(luò)socket，可以通過網(wǎng)絡(luò)與Android應(yīng)用通信，其原本用于linux環(huán)境下開放網(wǎng)絡(luò)服務(wù)，由于缺乏對網(wǎng)絡(luò)調(diào)用者身份或者本地調(diào)用者id、permission等細(xì)粒度的安全檢查機制，在實現(xiàn)不當(dāng)?shù)那闆r下，可以突破Android的沙箱限制，以被攻擊應(yīng)用的權(quán)限執(zhí)行命令，通常出現(xiàn)比較嚴(yán)重的漏洞危險等級：低Native動態(tài)調(diào)試風(fēng)險漏洞說明：so文件存在被調(diào)試的風(fēng)險，攻擊者可以利用此風(fēng)險對應(yīng)用進行動態(tài)調(diào)試。危險等級：高Android端-組件安全Activity漏洞說明：Android每一個Application都是由Activity、Service、contentProvider和BroadcastReceiver等Android的基本組件所組成，其中Activity是實現(xiàn)應(yīng)用程序的主體，它承擔(dān)了大量的顯示和交互工作，甚至可以理解為一個“界面”就是一個Activity。危險等級：中Service漏洞說明：一個Service是沒有界面且能長時間運行于后臺的應(yīng)用組件．其它應(yīng)用的組件可以啟動一個服務(wù)運行于后臺，即使用戶切換到另一個應(yīng)用也會繼續(xù)運行．另外，一個組件可以綁定到一個service來進行交互，即使這個交互是進程間通訊也沒問題．例如，一個service可能處理網(wǎng)絡(luò)事物，播放音樂，執(zhí)行文件I/O，或與一個內(nèi)容提供者交互，所有這些都在后臺進行。危險等級：中BroadcastReciever漏洞說明：BroadcastRecevier廣播接收器是一個專注于接收廣播通知信息，并做出對應(yīng)處理的組件。很多廣播是源自于系統(tǒng)代碼的──比如，通知時區(qū)改變、電池電量低、拍攝了一張照片或者用戶改變了語言選項。應(yīng)用程序也可以進行廣播──比如說，通知其它應(yīng)用程序一些數(shù)據(jù)下載完成并處于可用狀態(tài)。應(yīng)用程序可以擁有任意數(shù)量的廣播接收器以對所有它感興趣的通知信息予以響應(yīng)。所有的接收器均繼承自BroadcastReceiver基類。廣播接收器沒有用戶界面。然而，它們可以啟動一個activity來響應(yīng)它們收到的信息，或者用NotificationManager來通知用戶。通知可以用很多種方式來吸引用戶的注意力──閃動背燈、震動、播放聲音等等。一般來說是在狀態(tài)欄上放一個持久的圖標(biāo)，用戶可以打開它并獲取消息。危險等級：中ContentProvider目錄遍歷漏洞說明：AndroidContentProvider存在文件目錄遍歷安全漏洞，該漏洞源于對外暴露ContentProvider組件的應(yīng)用，沒有對ContentProvider組件的訪問進行權(quán)限控制和對訪問的目標(biāo)文件的ContentQueryUri進行有效判斷，攻擊者利用該應(yīng)用暴露的ContentProvider的openFile()接口進行文件目錄遍歷以達到訪問任意可讀文件的目的。危險等級：中ContentProviderSQL注入漏洞說明：在使用ContentProvider時，將組件導(dǎo)出，提供了query接口。由于query接口傳入的參數(shù)直接或間接由接口調(diào)用者傳入，攻擊者構(gòu)造sqlinjection語句，造成信息的泄漏甚至是應(yīng)用私有數(shù)據(jù)的惡意改寫和刪除。危險等級：中IntentSchemeUrls攻擊漏洞說明：Android應(yīng)用本地拒絕服務(wù)漏洞源于程序沒有對Intent.getXXXExtra()獲取的異?；蛘呋螖?shù)據(jù)處理時沒有進行異常捕獲，從而導(dǎo)致攻擊者可通過向受害者應(yīng)用發(fā)送此類空數(shù)據(jù)、異?；蛘呋螖?shù)據(jù)來達到使該應(yīng)用crash的目的，簡單的說就是攻擊者通過intent發(fā)送空數(shù)據(jù)、異?；蚧螖?shù)據(jù)給受害者應(yīng)用，導(dǎo)致其崩潰。危險等級：高Intent本地拒絕服務(wù)漏洞漏洞說明：Android應(yīng)用本地拒絕服務(wù)漏洞源于程序沒有對Intent.getXXXExtra()獲取的異常或者畸形數(shù)據(jù)處理時沒有進行異常捕獲，從而導(dǎo)致攻擊者可通過向受害者應(yīng)用發(fā)送此類空數(shù)據(jù)、異常或者畸形數(shù)據(jù)來達到使該應(yīng)用crash的目的，簡單的說就是攻擊者通過intent發(fā)送空數(shù)據(jù)、異?；蚧螖?shù)據(jù)給受害者應(yīng)用，導(dǎo)致其崩潰。危險等級：高WebViewFile域同源策略繞過漏洞說明：JavaScript的延時執(zhí)行能夠繞過file協(xié)議的同源檢查，并能夠訪問受害應(yīng)用的所有私有文件，即通過WebView對Javascript的延時執(zhí)行和將當(dāng)前Html文件刪除掉并軟連接指向其他文件就可以讀取到被符號鏈接所指的文件，然后通過JavaScript再次讀取HTML文件，即可獲取到被符號鏈接所指的文件。危險等級：中WebView不校驗證書漏洞漏洞說明：調(diào)用了android/webkit/SslErrorHandler類的proceed方法,可能導(dǎo)致WebView忽略校驗證書的步驟。危險等級：高WebView密碼明文保存漏洞說明：在使用WebView的過程中忽略了WebViewsetSavePassword，當(dāng)用戶選擇保存在WebView中輸入的用戶名和密碼，則會被明文保存到應(yīng)用數(shù)據(jù)目錄的databases/webview.db中。如果手機被root就可以獲取明文保存的密碼，造成用戶的個人敏感數(shù)據(jù)泄露。危險等級：低WebView遠(yuǎn)程代碼執(zhí)行漏洞說明：Android系統(tǒng)通過WebView.addJavascriptInterface方法注冊可供JavaScript調(diào)用的Java對象，以用于增強JavaScript的功能。但是系統(tǒng)并沒有對注冊Java類的方法調(diào)用的限制。導(dǎo)致攻擊者可以利用反射機制調(diào)用未注冊的其它任何Java類，最終導(dǎo)致JavaScript能力的無限增強。攻擊者利用該漏洞可以根據(jù)客戶端執(zhí)行任意代碼。危險等級：高未移除有風(fēng)險的WebView系統(tǒng)隱藏接口漏洞說明：androidwebview組件包含3個隱藏的系統(tǒng)接口：searchBoxJavaBridge_,accessibilityTraversal以及accessibility，惡意程序可以利用它們實現(xiàn)遠(yuǎn)程代碼執(zhí)行。危險等級：中Android端-敏感信息安全私有目錄下的文件權(quán)限漏洞說明：測試移動客戶端私有目錄下的文件權(quán)限是否設(shè)置正確，非root賬戶是否可以讀，寫，執(zhí)行私有目錄下的文件。危險等級：低私有目錄文件的安全性漏洞說明：檢測手機私有目錄文件的安全性，判斷是否有敏感信息的明文存儲。危險等級：低logcat日志漏洞說明：調(diào)試日志函數(shù)可能輸出重要的日志文件，其中包含的信息可能導(dǎo)致客戶端用戶信息泄露，暴露客戶端代碼邏輯等，為發(fā)起攻擊提供便利。危險等級：中Android端-數(shù)據(jù)存儲SharedPreferences漏洞說明：SharedPreferences是一種輕量級的基于XML文件存儲的鍵值對(key-value)數(shù)據(jù)的數(shù)據(jù)存儲方式，開發(fā)者在創(chuàng)建文件時沒有正確的選取合適的創(chuàng)建模式(MODE_PRIVATE、MODE_WORLD_READABLE以及MODE_WORLD_WRITEABLE)進行權(quán)限控制;過度依賴Android系統(tǒng)內(nèi)部存儲安全機制，將用戶信息、密碼等敏感重要的信息明文存儲在SharedPreferences文件中，導(dǎo)致攻擊者可通過root手機來查看敏感信息。危險等級：中InternalStorage漏洞說明：InternalStorage是一種開發(fā)者可以直接使用設(shè)備內(nèi)部存儲器來創(chuàng)建和保存文件，開發(fā)者在創(chuàng)建文件時沒有正確的選取合適的創(chuàng)建模式(MODE_PRIVATE、MODE_WORLD_READABLE以及MODE_WORLD_WRITEABLE)進行權(quán)限控制;過度依賴Android系統(tǒng)內(nèi)部存儲安全機制，將用戶信息、密碼等敏感重要的信息明文存儲在SharedPreferences文件中，導(dǎo)致攻擊者可通過root手機來查看敏感信息。危險等級：中SQLite數(shù)據(jù)庫存儲數(shù)據(jù)漏洞說明：SQLite是輕量級嵌入式數(shù)據(jù)庫引擎，它支持SQL語言，并且只利用很少的內(nèi)存就有很好的性能。此外它還是開源的，任何人都可以使用它。許多開源項目（(Mozilla,PHP,Python）都使用了SQLite.SQLite由以下幾個組件組成：SQL編譯器、內(nèi)核、后端以及附件。SQLite通過利用虛擬機和虛擬數(shù)據(jù)庫引擎（VDBE），使調(diào)試、修改和擴展SQLite的內(nèi)核變得更加方便。危險等級：中硬編碼漏洞說明：開發(fā)者將密鑰硬編碼在Java代碼、文件中，這樣做會引起很大風(fēng)險。信息安全的基礎(chǔ)在于密碼學(xué)，而常用的密碼學(xué)算法都是公開的，加密內(nèi)容的保密依靠的是密鑰的保密，密鑰如果泄露，對于對稱密碼算法，根據(jù)用到的密鑰算法和加密后的密文，很容易得到加密前的明文；對于非對稱密碼算法或者簽名算法，根據(jù)密鑰和要加密的明文，很容易獲得計算出簽名值，從而偽造簽名。危險等級：中Android端-密碼軟鍵盤安全性鍵盤劫持測試漏洞說明：測試移動客戶端程序在密碼等輸入框是否使用自定義軟鍵盤。安卓應(yīng)用中的輸入框默認(rèn)使用系統(tǒng)軟鍵盤，手機安裝木馬后，木馬可以通過替換系統(tǒng)軟鍵盤，記錄應(yīng)用的密碼。危險等級：高軟盤安全性測試漏洞說明：測試移動客戶端是否使用隨機布局的密碼軟鍵盤。危險等級：低屏幕錄像測試漏洞說明：測試通過連續(xù)截圖，是否可以捕捉到用戶密碼輸入框的密碼。危險等級：低Android端-安全策略密碼復(fù)雜度檢測漏洞說明：測試移動客戶端程序是否檢查用戶輸入的密碼，禁止用戶設(shè)置弱口。危險等級：低帳戶鎖定策略漏洞說明：測試移動客戶端是否限制登錄嘗試次數(shù)。防止木馬使用窮舉法暴力破解用戶密碼。危險等級：低會話安全設(shè)置漏洞說明：測試移動客戶端在一定時間內(nèi)無操作后，是否會使會話超時并要求重新登錄。超時時間設(shè)置是否合理。危險等級：低界面切換保護漏洞說明：檢查移動客戶端程序在切換到后臺或其他應(yīng)用時，是否能恰當(dāng)響應(yīng)（如清除表單或退出會話），防止用戶敏感信息泄露。危險等級：低界面劫持保護漏洞說明：檢查移動客戶端是否對非正常的界面切換進行檢測，并對用戶進行提示。UI信息泄漏漏洞說明：檢查移動客戶端的各種功能，看是否存在敏感信息泄露問題。危險等級：低帳號登錄限制漏洞說明：測試能否在兩個設(shè)備上同時登錄同一個帳號。危險等級：中安全退出漏洞說明：驗證移動客戶端在用戶退出登錄狀態(tài)時是否會和服務(wù)器進行通信以保證退出的及時性。危險等級：低驗證碼安全性漏洞說明：驗證移動客戶端使用的驗證碼的安全性。危險等級：低Android端-手勢密碼安全性本地信息存儲漏洞說明：檢測移動客戶端在取消手勢密碼時是否會驗證之前設(shè)置的手勢密碼，檢測是否存在其他導(dǎo)致手勢密碼取消的邏輯問題。危險等級：中手勢密碼鎖定策略繞過漏洞說明：測試移動客戶端是否存在手勢密碼多次輸入錯誤被鎖定的安全策略。防止木馬使用窮舉法暴力破解用戶密碼。因為手勢密碼的存儲容量非常小，一共只有9！=362880種不同手勢，若手勢密碼不存在鎖定策略，木馬可以輕易跑出手勢密碼結(jié)果，手勢密碼在輸入時通常以a[2][2]這種3*3的二維數(shù)組方式保存，在進行移動客戶端同服務(wù)器的數(shù)據(jù)交互時通常將此二維數(shù)組中數(shù)字轉(zhuǎn)化為類似手機數(shù)字鍵盤的b[8]這種一維形式，之后進行一系列的處理進行發(fā)送。危險等級：高Android端-進程內(nèi)存訪問和修改漏洞說明：通過對移動客戶端內(nèi)存的訪問，木馬將有可能會得到保存在內(nèi)存中的敏感信息（如登錄密碼，帳號等）。測試移動客戶端內(nèi)存中是否存在的敏感信息（卡號、明文密碼等等）。危險等級：高動態(tài)注入防護漏洞說明：測試客戶端是否對自身進程進行保護，防止其他應(yīng)用訪問進程內(nèi)存中的敏感信息。危險等級：高外部動態(tài)加載DEX安全風(fēng)險漏洞說明：Android系統(tǒng)提供了一種類加載器DexClassLoader，其可以在運行時動態(tài)加載并解釋執(zhí)行包含在JAR或APK文件內(nèi)的DEX文件。外部動態(tài)加載DEX文件的安全風(fēng)險源于：Anroid4.1之前的系統(tǒng)版本容許Android應(yīng)用將動態(tài)加載的DEX文件存儲在被其他應(yīng)用任意讀寫的目錄中(如sdcard)，因此不能夠保護應(yīng)用免遭惡意代碼的注入；所加載的DEX易被惡意應(yīng)用所替換或者代碼注入，如果沒有對外部所加載的DEX文件做完整性校驗，應(yīng)用將會被惡意代碼注入，從而執(zhí)行的是惡意代碼；危險等級：高Android端-通信安全通信加密漏洞說明：驗證移動客戶端和服務(wù)器之前的通信是否使用加密信道。危險等級：低關(guān)鍵數(shù)據(jù)加密和校驗漏洞說明：驗證移動客戶端和服務(wù)器之前的通信是否使用加密信道。危險等級：中證書有效性驗證漏洞說明：驗證移動客戶端和服務(wù)器之間是否存在雙向驗證的機制，同時確認(rèn)此機制是否完善，服務(wù)器是否以白名單的方式對發(fā)包者的身份進行驗證。危險等級：低移動客戶端更新安全漏洞說明：測試移動客戶端自動更新機制是否安全。危險等級：中訪問控制漏洞說明：測試移動客戶端訪問的URL是否僅能由手機移動客戶端訪問。是否可以繞過登錄限制直接訪問登錄后才能訪問的頁面，對需要二次驗證的頁面（如私密問題驗證），能否繞過驗證。危險等級：低Android端-業(yè)務(wù)安全Securerandom漏洞漏洞說明：Android4.4之前版本的Java加密架構(gòu)(JCA)中使用的ApacheHarmony6.0M3及其之前版本的SecureRandom實現(xiàn)存在安全漏洞，具體位于classlib/modules/security/src/main/java/common/org/apache/harmony/security/provider/crypto/SHA1PRNG_SecureRandomImpl.java

類的engineNextBytes函數(shù)里。危險等級：低越權(quán)漏洞說明：通過越權(quán)漏洞可以操縱另外一個帳戶信息危險等級：高SQL注入漏洞說明：通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務(wù)器執(zhí)行惡意的SQL命令危險等級：高XSS漏洞說明：造成XSS漏洞的原因就是，攻擊者的輸入沒有經(jīng)過嚴(yán)格的控制，最終顯示給來訪的用戶，攻擊者通過巧妙的方法注入惡意指令代碼到網(wǎng)頁，使用戶加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁程序。這些惡意網(wǎng)頁程序通常是JavaScript，但實際上也可以包括Java，VBScript，ActiveX，F(xiàn)lash或者甚至是普通的HTML。攻擊成功后，攻擊者可能得到更高的權(quán)限（如執(zhí)行一些操作）、個人網(wǎng)頁內(nèi)容、會話和cookie等各種內(nèi)容。注冊漏洞說明：在各種網(wǎng)站需要訪問權(quán)限時，需要用戶注冊賬戶，此時填寫各種資料的同時會存在各種安全性問題。密碼找回漏洞說明：找回密碼是很多網(wǎng)站都存在的一項功能，同時也可能存在一些安全性問題，常見的找回密碼方式有：郵箱找回密碼、根據(jù)密碼保護問題找回密碼、根據(jù)手機號碼找回密碼等。雖然這些方式都可以找回密碼，但實現(xiàn)方式各不相同。無論是哪種密碼找回方式，在找回密碼時，除了自己的用戶密碼，還可能找回其他用戶的密碼，就存在密碼找回漏洞。危險等級：高登錄漏洞說明：登錄功能可能存在任意登錄、撞庫等安全問題。危險等級：高CSRF漏洞說明：以你名義發(fā)送郵件，發(fā)消息，盜取你的賬號，甚至于購買商品，虛擬貨幣轉(zhuǎn)賬造成的問題包括：個人隱私泄露以及財產(chǎn)安全。危險等級：高SSRF漏洞說明：SSRF(Server-SideRequestForgery：服務(wù)器端請求偽造)是一種有攻擊者構(gòu)造形成有服務(wù)器發(fā)起請求的一個安全漏洞。一般情況下，SSRF攻擊的目標(biāo)是從外網(wǎng)無法訪問的內(nèi)部系統(tǒng)。危險等級：高弱口令漏洞說明：很多網(wǎng)站都有登錄，而面對多個網(wǎng)站設(shè)置不同密碼，似乎很不方便，但是由于用戶不想設(shè)置太復(fù)雜，不方便記住，設(shè)置弱密碼或者跟其它網(wǎng)站密碼一樣才最終導(dǎo)致被黑客暴力破解。危險等級：高XXE漏洞說明：XXEInjection即XMLExternalEntityInjection,也就是XML外部實體注入攻擊.漏洞是在對非安全的外部實體數(shù)據(jù)進?行處理時引發(fā)的安全問題。危險等級：高命令執(zhí)行漏洞說明：由于開發(fā)人員編寫源碼，沒有針對代碼中可執(zhí)行的特殊函數(shù)入口做過濾，導(dǎo)致客戶端可以提交惡意構(gòu)造語句提交，并交由服務(wù)器端執(zhí)行。命令注入攻擊中WEB服務(wù)器沒有過濾類似system()、eval()、exec()等函數(shù)是該漏洞攻擊成功的最主要原因。危險等級：高FFmpeg文件讀取漏洞說明：FFmpeg的是一款全球領(lǐng)先的多媒體框架,支持解碼,編碼,轉(zhuǎn)碼,復(fù)用,解復(fù)用,流媒體,過濾器和播放幾乎任何格式的多媒體文件，解析m3u8文件的時候,解析文件會得到ts流的http地址,我們并不一定非要得到一個視頻文件流,可以是任意url地址,只要符合ffmpeg官方的協(xié)議頭,所以造成了ssrf漏洞。漏洞地址：危險等級：中APP滲透案例展示通過逆向APP找到測試地址：可以通過調(diào)試模式備份數(shù)據(jù)AllowBackup=True通過逆向APP編寫解密程序APP數(shù)據(jù)包可逆向，按照加密程序編寫解密腳本。設(shè)置新密碼,密碼未做hash傳輸解密后的數(shù)據(jù)密碼明文傳輸：傳輸中的加密數(shù)據(jù)sid=w4SMu0iLhNDMiJjZmNjY2EmYiBTY0YmNilzY3YTO0EWY5UjYjljLt4iN1QzM%0AyEjLt4CNuQjL04SLuMkMlMkMlUjRBNTJBRUQzUSMEF0MlgTOBNTJ0QTQzUCO1MkMlUDN5M2M2IDZ%0AzImM4EjZmF2QyUSM2AjM3ITMyAzMzQDO2gzQyUSZ1JHdu0iLBJDMyUSTI5SLuAjL04iMu0iLy8lM%3DMDAwLw3VzZXIvc2V0UGF5cHdk%3DZGU2NWExOTdmOWJhYzhjYWYxNGI5Y2U0ZGZjNmMzZTRmMWM4MjY5ZQ%3D%3D本地數(shù)據(jù)庫數(shù)據(jù)明文存儲

滲透測試輸出報告滲透測試完成后的兩個工作日內(nèi)，滲透測試人員將輸出最終版滲透測試報告。滲透測試報告包含滲透測試的整個流程描述，同時，還會對發(fā)現(xiàn)安全問題的思路與技術(shù)手法進行必要的說明，并結(jié)合測試目標(biāo)所處的業(yè)務(wù)環(huán)境，對安全問題進行風(fēng)險分析（如：可能產(chǎn)生的后果等方面）。除此以外，測試人員還將針對發(fā)現(xiàn)的問題提出具有針對性的解決方案，以便用戶在修復(fù)過程中參考。

安全服務(wù)承諾為提高安全服務(wù)質(zhì)量，保證安全服務(wù)規(guī)范，信息技術(shù)有限公司特做如下安全服務(wù)承諾：一切安全測試、評估類活動，均遵循國家法律、以及甲乙雙方所約定的合同及補充條款要求；所有執(zhí)行項目遵循雙方約定服務(wù)范圍；對于可能造成危害的測試行為提前獲得用戶同意與認(rèn)可，并在雙方約定的可控范圍內(nèi)進行測試；服務(wù)人員在整個測試過程中，將遵循內(nèi)部規(guī)范嚴(yán)格規(guī)避可能存在的風(fēng)險和隱患；測試結(jié)果按雙方約定形式，由服務(wù)人員撰寫報告完整提供給甲方，并按用戶要求對內(nèi)容做出適當(dāng)?shù)恼f明；在服務(wù)過程中，若因為人工失誤造成的系統(tǒng)運行異常，測試人員有責(zé)任第一時間通知用戶并協(xié)助恢復(fù)；乙方遵循安全保密要求，服務(wù)過程中和服務(wù)完成后，均不會以任何形式將服務(wù)過程中所獲取的甲方數(shù)據(jù)泄露給第三方。

滲透測試服務(wù)的特點是國內(nèi)最早提出網(wǎng)站安全云監(jiān)測及云防御的高新企業(yè)，始終致力于為客戶提供基于云技術(shù)支撐的下一代Web安全解決方案。可以保證為客戶提供先進、可靠的網(wǎng)站滲透測試服務(wù)。工程經(jīng)驗：已經(jīng)對多個國家機關(guān)、互聯(lián)網(wǎng)公司、新聞媒體成功的提供過網(wǎng)站安全體檢服務(wù)，具有豐富的工程實施經(jīng)驗。技術(shù)能力：自創(chuàng)立以來，業(yè)績卓著，得到了各大互聯(lián)網(wǎng)管理機構(gòu)、多家世界五百強企業(yè)的高度認(rèn)可。2009年公司被亞洲CIO雜志評選為20家最有價值企業(yè)，中國地區(qū)僅有與阿里巴巴獲此殊榮。卓越的解決方案覆蓋眾多行業(yè)領(lǐng)域，擁有極高的客戶忠誠度，這完全得益于精湛的技術(shù)、合理的總擁有成本、產(chǎn)品的易管理性以及優(yōu)質(zhì)的客戶服務(wù)。信息控制：網(wǎng)站安全體檢項目成員對客戶信息有著嚴(yán)格的信息控制手段及安全保密意識培訓(xùn)，保證客戶的敏感信息的安全性。人工篩查準(zhǔn)確通告：基于公司成熟的技術(shù)團隊和強大的安全信息獲取能力，會在發(fā)現(xiàn)漏洞的第一時間將漏洞信息發(fā)送至客戶。同時，還會附有完整的漏洞加固方案及驗證程序，幫助客戶第一時間解決高風(fēng)險漏洞?；ヂ?lián)網(wǎng)APP消息推送：漏洞速遞的推送方式不同于以往的郵件、電話等告知方式，使用“微信企業(yè)號”進行消息推送?？蛻敉ㄟ^移動終端上的APP推送，可以第一時間獲取漏洞信息、安全解決方案及驗證程序。并通過APP收集、處理這些資料。隨時隨