安全检测检查清单(IOS版APP)
(⼀)
检查项:XcodeGhost病毒
优先级:⾼
检查要点:下载⾮官⽅开发⼯具,导致IOS版本APP被植⼊恶意代码
检查⽅法:1、被测应⽤的开发者使⽤⾮苹果公司官⽅渠道下载的Xcode⼯具开发IOS应⽤程序时,会向所开发的正常APP中植⼊恶意代码。被植⼊恶意程序的APP可以在App Store正常下载并安装使⽤。该恶意代码窃取应⽤名、应⽤版本号、系统版本号、语⾔、国家名、开发者符号、app安装时间、设备名称、设备类型等信息,造成⽤户数据泄露。
(⼆)
检查项:密码锁定策略
优先级:⾼
检查要点:测试客户端是否存在⼿势密码多次输⼊错误被锁定的安全策略。
检查⽅法:
1、⾸先通过正常的操作流程设置⼀个⼿势密码。
2、输⼊不同于步骤1中的⼿势密码,观察客户端的登陆状态及相应提⽰。若连续输⼊多次⼿势密码错误,观察当⽤户处于登陆状态时是否退出当前的登陆状态并关闭客户端;当客户未处于登录状态时是否关闭客户端并进⾏⼀定时间的输⼊锁定。
(三)
检查项:密码复杂度
优先级:⾼
检查要点:试客户端⼿势密码复杂度,观察是否有点位数量判断逻辑。
app接口测试工具检查⽅法:
1、进⼊客户端设置⼿势密码的页⾯进⾏⼿势密码设置。
2、进⾏⼿势密码设置,观察客户端⼿势密码设置逻辑是否存在最少点位的判断。
(四)
检查项:登录窗⼝注⼊漏洞
优先级:⾼
检查要点:检查APP登录窗⼝是否存在注⼊漏洞
检查⽅法:
1、⾸先通过抓包判断站点前端开发语⾔,如:jsp、php和asp等;
2、根据不同的开发语⾔输⼊不同的万能密码进⾏尝试,如:jsp语⾔(admin' or 1=1/*等)、PHP语⾔('or 1=1/*等)和asp/aspx语⾔(""or ""a""=""a等);
3、判断是否可以成功登录
(五)
检查项:传输通道加密传输
优先级:⾼
检查要点:验证传输通道是否加密
检查⽅法:
1)采⽤抓包⼯具,如:BurpSuite等对登陆过程进⾏抓包
2)验证是否对传输通道进⾏加密,如:https。
(六)
检查项:账号枚举暴⼒破解
优先级:⾼
检查要点:是否具备对账号枚举的防范措施
检查⽅法:
1)采⽤抓包⼯具,如:burpsuite等对登陆过程进⾏抓包;
2)对⽤户名字段,如:⼿机号,进⾏枚举攻击;
3)判断服务器对该攻击过程是否具备防范措施,如:IP封锁等。
(七)
检查项:密码暴⼒破解(或动态短信暴⼒破解)
优先级:⾼
检查要点:是否具备对账号暴⼒破解的防范措施
检查⽅法:
1)⾸先检查登陆机制中,是否存在图形验证码或动态短信,如果没有,则进⾏⼀下操作;
2)采⽤抓包⼯具,如:burpsuite等对登陆过程进⾏抓包;
2)对⽤户密码进⾏暴⼒破解攻击;
3)判断服务器对该攻击过程是否具备防范措施,如,账户锁定、IP封锁等
(⼋)
检查项:图形验证码绕过
优先级:⾼
检查要点:是否能够绕过图形验证码
检查⽅法:
1)采⽤抓包⼯具,如burpsuite等对登陆过程进⾏抓包;
2)多次使⽤同⼀验证码访问,验证验证码是否使⽤⼀次后失效;
3)分析验证码验证请求和登陆认证请求是否在同⼀个请求中,如果不在⼀个请求中,验证单独发送登陆认证或者⼀次验证码验证后多次登陆认证是否能登陆成功
(九)
检查项:短信
优先级:⾼
检查要点:是否存在短信
检查⽅法:1)使⽤BurpSuite抓包获取报⽂并发送到Repeater模块进⾏重放报⽂,模拟向⽤户发送多次短信的操作;
(⼗)
检查项:密码重置绕过
优先级:⾼
检查要点:密码重置过程中的验证功能是否能够绕过
检查⽅法:
1)采⽤抓包⼯具,如如:burpsuite等抓取密码重置过程包
2)检查重置密码的请求是否包括验证信息,如果不包括验证信息,修改重置账号为其他⽤户的账号,重放重置密码请求,验证是否重置成功;如果包括验证信息,验证是否有失效或者防伪造机制。
(⼗⼀)
检查项:密码复杂度
优先级:⾼
检查要点:测试修改密码时,是否有复杂度校验
检查⽅法:1、⼈⼯测试,尝试将密码修改为弱⼝令,如:123456,654321,121212,888888等,查看客户端是否拒绝弱⼝令。
(⼗⼆)
检查项:恶意注册
优先级:⾼
检查要点:是否有恶意注册防范功能
检查⽅法:
1)注册过程是否有图形验证码、短信验证码防批量注册措施
2)再判断图形验证码或动态短信是否存在绕过漏洞
(⼗三)
检查项:业务逻辑绕过
优先级:⾼
检查要点:对于可以通过代理的⽅式对交互数据进⾏分析的客户端,可以对涉及到敏感信息操作的具体业务功能进⾏测试
检查⽅法:
1、根据客户端的业务流程,使⽤代理截获客户端每个功能的通信数据,测试对交互数据的篡改或重放所导致的问题。
2、具体测试内容包括但不限于:篡改造成的越权操作,交易篡改,特殊数据提交(如各种注⼊问题),重放导致的多次交易等等。(⼗四)
检查项:SQL注⼊、cookie注⼊、xss常见的应⽤漏洞
优先级:⾼
检查要点:检查各web应⽤系统是否存在web常见漏洞,如:sql注⼊、cookie注⼊等
检查⽅法:
1、寻可疑点:
使⽤AWVS扫描器对⽬标⽹站进⾏扫描以出所有的SQL注⼊、cookie注⼊、xss可疑点;
2、确认可疑点是否存在注⼊、跨站等;
利⽤WVS的提⽰进⾏⼿动验证或sqlmap、pangolin等进⾏验证
(⼗五)
检查项:⽂件上传
优先级:⾼
检查要点:是否存在可以上传任意类型的⽂件,从⽽获取webshell
检查⽅法:
(⼗六)
检查项:任意⽂件下载
优先级:⾼
检查要点:⽆需登录可以任意下载⽂件
检查⽅法:
1、尝试寻⽂件下载点
2、在不登陆情况下,尝试去下载某些⽂件(例如db、doc、txt等格式的⽂件)
(⼗七)
检查项:本地⽂件包含
优先级:⾼
检查要点:是否可以包含本地任意⽂件
检查⽅法:
(⼗⼋)
检查项:远程⽂件包含
优先级:⾼
检查要点:是否可以远程包含⽂件
检查⽅法:
(⼗九)
检查项:未授权访问
优先级:⾼
检查要点:是否存在垂直权限提升
检查⽅法:
1、利⽤“敏感数据扫描⼯具”在不登陆情况下访问省公司提供的CRM系统的功能URL清单。
2、查看扫描⼯具检测结果中可被未授权访问的URL;
3、对未授权访问的URL进⾏⼿⼯验证
(⼆⼗)
检查项:越权访问
优先级:⾼
检查要点:
1)是否使⽤低权限可以访问⾼权限账号的URL
2)是否存在同级越权
检查⽅法:
1、低权限账号可以访问⾼权限账号
1)使⽤⾼权限账号登陆,抓取⼀些只有⾼权限账号才能登陆的URL
2)退出⾼权限账号,使⽤低权限账号登陆后,尝试访问这些⾼权限账号才能访问的URL 2、同级别越权
使⽤A账号能否访问B账号的特定数据,实现越权访问
(⼆⼗⼀)
检查项:短信接⼝恶意调⽤
优先级:⾼
检查要点:是否存在短信接⼝恶意调⽤
检查⽅法:
1)在调⽤短信接⼝过程中,使⽤burp进⾏抓包,修改发送⽬标与内容
2)查看是否能按照预定
(⼆⼗⼆)
检查项:⽬录遍历
优先级:中
检查要点:是否存在⽬录遍历
检查⽅法:
1)通过AWVS扫描,查看扫描结果中,是否存在Directory Listing漏洞
2)使⽤⽬录扫描⼯具扫描⽬标
3)利⽤浏览器打开漏洞链接,验证前⾯两种扫描结果,是否可以成功浏览⽬录
(⼆⼗三)
检查项:session失效
优先级:中
检查要点:是否在关闭浏览器、注销、超时的情况下session失效
检查⽅法:
1)在正常业务操作中,通过burp抓取session id
2)关闭浏览器、注销、超时后分别执⾏第三步
3)使⽤第⼀步抓取的session id访问(利⽤edit cookie访问某需要登录后才能访问URL)
(⼆⼗四)
检查项:session绕过
优先级:中
检查要点:是否存在session绕过
检查⽅法:
1)使⽤burp截取⼀个正常业务操作的包,并删除session id后提交请求,查看是否可以成功访问
(⼆⼗五)
检查项:会话⽆session校验
优先级:中
检查要点:是否存在会话⽆session校验
检查⽅法:
1)在正常业务操作中,对数据访问进⾏抓包,查看数据包中是否存在session等字段,如果没有,则进⾏如下操作。
2)在异地直接打开该URL
(⼆⼗六)
检查项:错误处理测试
优先级:中
检查要点:应⽤程序报错中泄漏敏感信息
检查⽅法:检查报错是否含有系统信息、错误代码、版本号等信息
(⼆⼗七)
检查项:struts任意命令执⾏漏洞
优先级:⾼
检查要点:是否存在struts任意命令执⾏漏洞
检查⽅法:
1、查看各检查系统是否使⽤Struts2框架
2、使⽤K8_Struts2_EXP⼯具进⾏检查、验证,查看⼯具是否成功执⾏系统命令
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论