App安全现状

App安全认证解决的问题

App安全认证检测项

app客户端安全

  • iOS 应用程序容易被逆向分析/攻击
  • iOS 应用程序是在已解锁或越狱的设备访问
  • Android 通用签名漏洞
  • Android 应用程序容易被逆向分析/攻击
  • Android Dex文件动态加载风险
  • Android 源码泄露漏洞(混淆率等)
  • Android App存在隐式意图调用
  • Android 调试开关开启风险
  • Android 备份功能开启风险

本地数据安全

  • iOS SQLite数据库未加密证书
  • iOS 在本地明文存储加密密钥或敏感数据
  • Android 本地代码执行漏洞
  • Android 私有文件遍历漏洞
  • Android getDir任意读写
  • Android Zip文件目录遍历漏洞
  • Android SharedPrefs任意读写
  • Android 全局文件可读可写
  • Android Shared Preferences
  • Android Internal Strorage
  • Android 手势密码本地存储数据
  • Android SQLite数据库存储数据

策略安全

  • 界面切换保护
  • 界面劫持保护
  • UI信息泄露
  • 账号登录限制
  • 安全退出
  • 验证码安全
  • 密码修改验证
  • 手势密码锁定策略
  • iOS 剪贴板未禁用
  • iOS 缓存溢出保护未启用
  • 密码复杂度检测
  • 账户锁定策略
  • Android 尝试使用root权限
  • Android 用户自定义权限滥用风险
  • Android Native动态调试

进程安全

  • Android PendingIntent误用风险

客户端安全

  • Android 主机名弱校验
  • Android 随机数加密破解漏洞

敏感信息安全

  • iOS 敏感信息硬编码在应用程序代码中
  • iOS 客户端手势密码验证绕过
  • iOS 日志文件包含敏感信息
  • iOS 内存转储敏感信息
  • iOS 私有IP泄漏
  • Android 存在可以被恶意访问的表单
  • Android 存在外部可访问的表单
  • Android META-INF目录存在敏感文件信息
  • Android 密钥硬编码
  • Android Url用户敏感信息泄露
  • Android KeyStore风险
  • Android 日志泄露风险

其他安全

  • Android 本地拒绝服务
  • Android 强制类型转换本地拒绝服务漏洞

软键盘安全

  • 密码键盘布局
  • 键盘劫持测试
  • 软键盘安全性测试
  • 屏幕录像测试

通信安全

  • iOS 未使用SSL导致数据明文传输
  • iOS 无效的SSL证书
  • iOS 没有校验证书
  • 通信加密
  • 关键数据加密校验
  • 移动客户端更新安全
  • 访问控制
  • iOS 证书校验绕过
  • iOS 第三方数据未加密传输
  • iOS 忽略SSL证书错误
  • iOS 使用不安全或过时的算法
  • Android 不安全的反射
  • Android 固定端口监听风险
  • Android 加密哈希函数漏洞MD5
  • Android 加密哈希函数漏洞SHA-1
  • Android 证书弱校验
  • Android AES/DES弱加密
  • Android RSA弱加密风险
  • Android 中间人攻击

业务安全

  • Web SQL注入漏洞
  • iOS 应用程序容易受到XSS攻击
  • Web 命令执行
  • LDAP注入
  • Web跨站脚本漏洞
  • Web不安全的直接对象引用
  • Web安全配置错误
  • Web敏感信息泄露
  • Web越权访问
  • Web跨站请求伪造
  • Web第三方组件
  • iOS 没有注销功能
  • Web未验证的重定向和转发
  • iOS URL篡改
  • Web 目录遍历
  • iOS 没有及时删除cookies或缓存信息
  • iOS 应用/Web缓存敏感数据泄漏
  • 界面切换保护
  • iOS 为认证用户提供可篡改数据
  • 界面劫持保护
  • UI信息泄露
  • iOS 本地文件包含
  • 账号登录限制
  • iOS 使用设备标识符作为会话
  • 安全退出
  • iOS 应答包中返回明文密码
  • 验证码安全
  • iOS 无需认证引用内部资源
  • 密码修改验证
  • iOS 跨源资源共享
  • 手势密码锁定策略
  • iOS 缓存HTTPS响应
  • Cookie未设置合理的Path属性
  • Cookie无HttpOnly属性
  • Cookie无Secure属性
  • iOS 应用程序容易受到点击劫持攻击
  • iOS 缺乏超时保护
  • Android 第三方库检测

组件安全

  • Android WebView组件远程代码执行漏洞
  • Android WebView绕过证书校验漏洞
  • Android WebView明文存储密码风险
  • Android WebView组件系统隐藏接口漏洞
  • Android ContentProvider文件跨域访问
  • Android 广播信息泄露风险
  • Android 外部URL可控的WebView
  • Android Intent敏感数据泄露风险
  • Android WebView File域同源策略绕过
  • Android Fragment注入漏洞
  • Android 初始化IVParameterSpec函数出错
  • iOS 没有注销功能Android Intent Scheme URL漏洞
  • Android Activity组件导出风险
  • Android Service组件组件导出风险
  • Android Broadcast Reciever组件组件导出风险
  • Android Content Provider组件组件导出风险

客户收益

联系我们