域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過

關(guān)于APP漏洞檢測(cè)，分為兩個(gè)層面的安全檢測(cè)，包括手機(jī)應(yīng)用層，以及APP代碼層，與網(wǎng)站的漏洞檢測(cè)基本上差不多，目前越來越多的手機(jī)應(yīng)用都存在著漏洞，關(guān)于如何對(duì)APP進(jìn)行漏洞檢測(cè)，我們?cè)敿?xì)的介紹一下。

APP代碼：代碼加密解密，反混跡調(diào)試，模式器安裝

APP應(yīng)用：跟網(wǎng)站漏洞檢測(cè)是一樣的，主要是一個(gè)SIGN值的正向，反向的算法，牽扯到https協(xié)議的傳輸繞過，SSL安全繞過。

APP漏洞檢測(cè)-經(jīng)常出現(xiàn)的漏洞

APP用戶任意登錄漏洞，有些用戶的登錄調(diào)用的是token值，這個(gè)值是跟隨用戶的ID值的，APP沒有做安全防護(hù)的情況下可以直接進(jìn)行反編譯，暴力破解生成token，造成可以登錄任何用戶的賬戶。在一個(gè)就是手機(jī)里的目錄文件，share_safe目錄里，保存了用戶的賬戶密碼等信息，我們把用戶ID改為其他用戶的，密碼不變，再點(diǎn)開APP就可以登錄其他用戶賬戶了。

APP支付安全繞過漏洞

通過修改APP軟件里的參數(shù)值，進(jìn)行抓包截取，修改參數(shù)值發(fā)送到服務(wù)器端，進(jìn)行繞過支付，直接開通會(huì)員，或者是充值。

APP信息泄露漏洞

APK源代碼里會(huì)存放一些開發(fā)代碼時(shí)候使用的IP地址，以及接收發(fā)送郵件的地址，賬號(hào)密碼，或者是一些隱蔽的第三方API接口。APP使用的數(shù)據(jù)庫遠(yuǎn)程地址，以及一些mysql數(shù)據(jù)庫的賬號(hào)密碼。APK日志里保存登錄的信息，包括用戶的賬號(hào)密碼。

APP組件漏洞

相當(dāng)于網(wǎng)站漏洞里的邏輯功能漏洞，有些APP組件在軟件進(jìn)行調(diào)用的時(shí)候并沒有對(duì)齊進(jìn)行嚴(yán)格的安全過濾，導(dǎo)致沒有進(jìn)行安全驗(yàn)證，就直接調(diào)用組件功能了。比如在調(diào)用發(fā)送手機(jī)短信，打開某個(gè)瀏覽器，打開URL網(wǎng)站的組件時(shí)會(huì)產(chǎn)生漏洞。

APP反編譯漏洞

APK安卓下的軟件包可以被直接反編譯，導(dǎo)致可以重新生成新的軟件，再一個(gè)反編譯軟件后對(duì)其進(jìn)行修復(fù)。劫持軟件廣告，彈窗跳轉(zhuǎn)，下載其他軟件等漏洞操作。本文來源www.sinesafe.com

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！