APP安全测评checklist
leader不要打我啊,我要借用一下我组app的安全测评检查方案,这些最基本的安全防范措施应该是每个app都要注意的吧:
对了,首先,你的app得先混淆啊~:AndroidStudio 混淆打包
先来个checklist:
编号 |
检查项目 |
测评结果 |
1 |
明文传输用户名、密码和验证码等敏感信息。 |
|
2 |
不安全的本地存储。 |
|
3 |
泄漏后台服务器地址,导致服务器可控 |
|
4 |
边信道信息泄漏 |
|
5 |
未使用有效的token机制,导致可以绕过鉴权 |
|
6 |
传输数据可修改,造成越权访问 |
|
7 |
登录设计缺陷,存在被暴力破解风险 |
|
8 |
利用业务逻辑缺陷制作短信炸弹 |
|
9 |
关键页面存在钓鱼劫持风险,导致用户信息泄露 |
|
10 |
可以重新编译打包 |
|
11 |
WebView漏洞 |
|
12 |
Web表单设计缺陷,存在SQL注入漏洞 |
|
13 |
组件Content Provider配置错误,导致数据泄漏 |
|
14 |
组件Activity配置错误,导致登录页面被绕过 |
|
15 |
组件Service配置错误,导致非法权限提升 |
|
16 |
组件Broadcast Receiver配置错误,导致拒绝服务、非法越权 |
|
17 |
开启allowbackup备份权限,存在备份数据泄露风险 |
|
18 |
开启Debuggable属性,存在应用信息篡改泄露风险 |
|
19 |
下载非官方开发工具,导致IOS版本APP被植入恶意代码 |
|
20 |
开发者证书不规范,导致开发者身份信息不明 |
|
具体的解释:
1、明文传输用户名、密码和验证码等敏感信息
问题描述:用户登录过程中,在与服务器端交互时明文传输用户名、密码或者验证码等,可导致用户敏感信息泄露。
检测结果:手机连接Fiddler代理,在Fiddler代理中抓包测试。APP登录操作: 账号、登录凭证不安全传输。
密码虽然是MD5散列后的数值,但是传输使用的是http协议,存在被嗅探窃取的可能性,一旦泄漏,黑客能够直接通过该用户名和Password登录。
整改建议:登录凭证信息需加密传输,建议使用自定义加密协议或使用https方式传输。
2、 不安全本地存储
问题描述:安卓开发者使用多种方法将数据存储在安卓应用中,而存储在本地的数据文件如果未加密,易造成敏感信息泄漏。
检测结果:Shared Preferences用户名和登录凭证明文存储在healthConfig.xml文件中。
SQLite 未发现敏感数据存储
SD卡敏感数据存储 未发现数据写入。
整改建议:对存储在本地的敏感数据进行加密。
3、泄漏后台服务器地址,导致服务器可控
问题描述:在使用BurpSuite等工具对应用进行监听的过程中,发现后台服务器地址。对后台服务器进行测试,若后台服务器存在漏洞,则可控制后台服务器。
检测结果:后台服务器地址为**********,未发现可导致服务器可控的安全漏洞。
4、边信道信息泄漏
问题描述:当APP处理用户或其它数据源输入的数据时,可能会把数据放在不安全的位置,容易导致边信道被攻击者利用造成信息泄露。
检查结果:用户登录凭证、设备ID等敏感数据出现在log中。
整改建议:对logcat的打印数据进行过滤,敏感数据不能出现在log中。
5、未使用有效的token机制,导致可以绕过鉴权
问题描述:如果被测应用没有使用有效的token机制,对登陆响应中的服务器返回的鉴权信息进行修改,即可绕过服务器鉴权,直接访问系统内部信息。
检测结果:从代理抓包分析,APP登录是会将一个deviceid和用户凭证一起提交,用户登录成功后,该deviceid将作为后续接口调用的凭证,即Token。
经查,该deviceid为设备中某些公开信息(IMEI、设备型号、操作系统版本等)的Base64编码结果,不具备隐私性,黑客可以通过获取这些公开信息伪造用户身份。
整改建议:在deviceid中加入随机数据。
6、传输数据可修改,造成越权访问
问题描述:利用已有的用户名密码登录应用,当应用访问某一模块时,使用BurpSuite等代理工具进行监听,对访问该模块时的关键信息进行替换,则可越权访问他人的应用模块。
检测结果:同第5条。
7、登录设计缺陷,存在被暴力破解风险
问题描述:用户登录过程中,未对同一用户的登录失败次数做限制,导致存在被暴力破解的风险。
问题详情:对登录接口进行暴力破解,错误50次后,输入正确用户名和密码仍然成功登录,表明没有对登录接口做暴力破解防护。
整改建议:限制账号登录错误次数,超过阀值时需要提供验证码机制。
8、利用业务逻辑缺陷制作短信炸弹
问题描述:如果在用户注册过程中存在逻辑设计缺陷,可对指定手机号码随意发送短信,造成短信炸弹攻击,可能造成用户投诉或恶意软件传播等。
测试结果:用户选择注册或忘记密码功能时,会触发短信验证码发送,多次调用验证码发送接口,每分钟能收到多条短消息,且没有发现总量限制。
整改建议:如果已经限制了每个用户每分钟的短信条数(如果没有限制,请做限制处理),建议进一步限制每个用户每天的短信条数。
9、关键页面存在钓鱼劫持风险,导致用户信息泄露
问题描述:劫持钓鱼,指恶意应用针对正常应用的特定界面进行仿冒替换,诱骗用户在仿冒界面操作,达到钓鱼目的。此类攻击,多针对APP的鉴权或支付场景,诱骗用户输入关键隐私信息,如账号、登陆密码和支付密码等,达到隐私窃取的目的。
检测结果:恶意应用可以通过监测进程机制实现对APP的劫持,当APP启动时,弹出伪造的登录Activity,实现钓鱼劫持。
整改建议:
- 建议在登录Activity的onpause方法中实现钓鱼劫持防护功能,如提示用户当前登录也已切换等。
- 使用HTML5架构或android+HTML5混合开发,实现登陆、支付等关键页面,降低被劫持的风险。
10、可以重新编译打包
问题描述:破解者通过反编译后得到程序源代码,修改后重新编译、签名并安装。在重新打包的过程中,破解者可能注入恶意代码,或者修改软件逻辑绕过鉴权等。
检测结果:通过反编译工具对APP进行反编译后,修改部分源代码后,可以重新打包安装,并成功安装在手机中运行。
整改建议:通过检查程序安装后classes.dex文件的Hash值,判断软件是否被重打包并进行提示。(这个具体使用时判断了打包keystore的SHA1值,不过前提是这个jks文件没被劫持啊)
11、WebView漏洞
问题描述:在WebView下有一个非常特殊的接口函数addJavascriptInterface,能实现本地java和js的交互。被测应用中存在WebView漏洞,没有对注册JAVA类的方法调用进行限制,导致攻击者利用addJavascriptInterface这个接口函数穿透webkit控制android本机。
检测结果:通过反编译源码发现BrowserActivity中存在WebView组件,并使用了addJavascriptInterface接口,但是对该接口使用@JavascriptInterface进行了保护,无需整改。(说实话这个不太熟悉)
12、Web表单设计缺陷,存在SQL注入漏洞
问题描述:开发过程中未对特殊字符进行过滤,攻击者可以通过把SQL命令插入到Web表单提交或者输入域名或者页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令的目的,这样攻击者就能够对内部数据库进行增删改操作。
检测结果:未发现SQL注入漏洞
13、组件Content Provider配置错误,导致数据泄漏
问题描述: Content Provider是安卓应用组件,以表格的形式把数据展现给外部的应用。每个Content Provider都对应一个以”content://”开头的特定URI,任何应用都可以通过这个URI操作Content Provider 应用的数据库。如果应用对权限控制不当就会造成信息泄露。
检测结果:使用drozer工具检测,未发现可被非法访问的URI。
14、组件Activity配置错误,导致登录页面被绕过
问题描述:Activity是安卓应用组件,提供与用户进行交互的界面。如果应用对权限控制不当,可以绕过登录界面直接显示该界面。
检测结果:使用drozer工具检测,发现多个可被外部应用直接调用的Activity组件,其中有的Activity可以跳过登录直接启动,存在安全风险。
整改建议:对风险Activity显式设置android:exported=false权限。
命令:dz> run app.activity.info -a <packageName>
15、组件Service配置错误,导致非法权限提升
问题描述:Service是Android中四大组件进行后台作业的主要组件,如果被测应用对权限控制不当,导致其他应用可以启动被测应用的Service。
检查结果:使用drozer工具检测,发现可被外部应用直接调用的Service组件,但未发现非法调用风险。
整改建议:请自确认暴露出来的两个Service是否存在非法调用风险,对风险Service显式设置android:exported=false权限。
命令:dz> run app.service.info -a <packageName>
16、组件Broadcast Receiver配置错误,导致拒绝服务、非法越权
问题描述:Broadcast Receiver是Android中四大组件用于处理广播事件的组件,若存在配置不当则其他应用可以伪装发送广播从而可造成信息泄露,拒绝服务攻击等。
检查结果:使用drozer工具检测,发现多个暴露的Broadcast组件,通过drozer发送这些自定义的Receiver对应的广播分别会造成系统弹框和程序奔溃,可能会被恶意应用利用,造成拒绝服务攻击。
整改建议:对外暴露的Broadcast组件显式设置android:exported=false权限。
命令:dz> run app.broadcast.send --component <packageName> <Customer Receiver Name>
17、开启allowbackup备份权限,存在备份数据泄露风险
问题描述: 被测应用的AndroidManifest.xml文件中allowBackup属性值被设置为true,可通过adb backup对应用数据进行备份,在无root的情况下可以导出应用中存储的所有数据,造成用户数据泄露。
检测结果:反编译查看AndroidManifest.xml,发现allowBackup属性被设置为true
整改建议:如无特殊需求,将allowBackup设置为false
18、开启Debuggable属性,存在应用信息篡改泄露风险
问题描述:被测应用的AndroidManifest.xml文件中Debuggable属性值被设置为true,可以设置断点来控制程序的执行流程,在应用程序运行时修改其行为。
检测结果:未发现开启Debuggable属性
19、下载非官方开发工具,导致IOS版本APP被植入恶意代码
检查结果:此项仅针对IOS客户端。请项目组自检,确保开发工具为官方下载。
(Xcode后门事件影响不小啊)
20、开发者证书开发者证书不规范,导致开发者身份信息不明
问题描述: 被测应用的开发者证书不规范,导致被测应用的开发者身份信息不是与本公司相关的信息。
(这个在生成jks或者keystore的时候要填写公司或者个人合理的信息)