App安全现状
-
高危漏洞普遍存在
据调查,热门应用普遍存在漏洞,平均每个应用有30个漏洞。88%的金融App存在内存敏感数泄露s问题,每一个高危漏洞。10娱乐App有9个至少包含 -
被仿冒严重
据调查,仿冒最严重的App月下载量超20万次。仿冒App会使用户手机感染病毒、消耗流量和话费、个人隐私数据泄露等 -
用户易流失
若明确怀疑一款App存在安全问题,只有2%的用户不会在意安全问题,继续使用。给用户安全信心,能够使产品走得更远。
App安全认证解决的问题
- App客户端安全
- 本地数据安全
- 策略安全
- 进程安全
- 客户端安全
- 敏感信息安全
- 其他安全
- 软键盘安全
- 通信安全
- 业务安全
- 组件安全
- 通信安全
App安全认证检测项
app客户端安全
-
iOS 应用程序容易被逆向分析/攻击
-
iOS 应用程序是在已解锁或越狱的设备访问
-
Android 通用签名漏洞
-
Android 应用程序容易被逆向分析/攻击
-
Android Dex文件动态加载风险
-
Android 源码泄露漏洞(混淆率等)
-
Android App存在隐式意图调用
-
Android 调试开关开启风险
-
Android 备份功能开启风险
本地数据安全
-
iOS SQLite数据库未加密证书
-
iOS 在本地明文存储加密密钥或敏感数据
-
Android 本地代码执行漏洞
-
Android 私有文件遍历漏洞
-
Android getDir任意读写
-
Android Zip文件目录遍历漏洞
-
Android SharedPrefs任意读写
-
Android 全局文件可读可写
-
Android Shared Preferences
-
Android Internal Strorage
-
Android 手势密码本地存储数据
-
Android SQLite数据库存储数据
策略安全
-
界面切换保护
-
界面劫持保护
-
UI信息泄露
-
账号登录限制
-
安全退出
-
验证码安全
-
密码修改验证
-
手势密码锁定策略
-
iOS 剪贴板未禁用
-
iOS 缓存溢出保护未启用
-
密码复杂度检测
-
账户锁定策略
-
Android 尝试使用root权限
-
Android 用户自定义权限滥用风险
-
Android Native动态调试
进程安全
-
Android PendingIntent误用风险
客户端安全
-
Android 主机名弱校验
-
Android 随机数加密破解漏洞
敏感信息安全
-
iOS 敏感信息硬编码在应用程序代码中
-
iOS 客户端手势密码验证绕过
-
iOS 日志文件包含敏感信息
-
iOS 内存转储敏感信息
-
iOS 私有IP泄漏
-
Android 存在可以被恶意访问的表单
-
Android 存在外部可访问的表单
-
Android META-INF目录存在敏感文件信息
-
Android 密钥硬编码
-
Android Url用户敏感信息泄露
-
Android KeyStore风险
-
Android 日志泄露风险
其他安全
-
Android 本地拒绝服务
-
Android 强制类型转换本地拒绝服务漏洞
软键盘安全
-
密码键盘布局
-
键盘劫持测试
-
软键盘安全性测试
-
屏幕录像测试
通信安全
-
iOS 未使用SSL导致数据明文传输
-
iOS 无效的SSL证书
-
iOS 没有校验证书
-
通信加密
-
关键数据加密校验
-
移动客户端更新安全
-
访问控制
-
iOS 证书校验绕过
-
iOS 第三方数据未加密传输
-
iOS 忽略SSL证书错误
-
iOS 使用不安全或过时的算法
-
Android 不安全的反射
-
Android 固定端口监听风险
-
Android 加密哈希函数漏洞MD5
-
Android 加密哈希函数漏洞SHA-1
-
Android 证书弱校验
-
Android AES/DES弱加密
-
Android RSA弱加密风险
-
Android 中间人攻击
业务安全
-
Web SQL注入漏洞
-
iOS 应用程序容易受到XSS攻击
-
Web 命令执行
-
LDAP注入
-
Web跨站脚本漏洞
-
Web不安全的直接对象引用
-
Web安全配置错误
-
Web敏感信息泄露
-
Web越权访问
-
Web跨站请求伪造
-
Web第三方组件
-
iOS 没有注销功能
-
Web未验证的重定向和转发
-
iOS URL篡改
-
Web 目录遍历
-
iOS 没有及时删除cookies或缓存信息
-
iOS 应用/Web缓存敏感数据泄漏
-
界面切换保护
-
iOS 为认证用户提供可篡改数据
-
界面劫持保护
-
UI信息泄露
-
iOS 本地文件包含
-
账号登录限制
-
iOS 使用设备标识符作为会话
-
安全退出
-
iOS 应答包中返回明文密码
-
验证码安全
-
iOS 无需认证引用内部资源
-
密码修改验证
-
iOS 跨源资源共享
-
手势密码锁定策略
-
iOS 缓存HTTPS响应
-
Cookie未设置合理的Path属性
-
Cookie无HttpOnly属性
-
Cookie无Secure属性
-
iOS 应用程序容易受到点击劫持攻击
-
iOS 缺乏超时保护
-
Android 第三方库检测
组件安全
-
Android WebView组件远程代码执行漏洞
-
Android WebView绕过证书校验漏洞
-
Android WebView明文存储密码风险
-
Android WebView组件系统隐藏接口漏洞
-
Android ContentProvider文件跨域访问
-
Android 广播信息泄露风险
-
Android 外部URL可控的WebView
-
Android Intent敏感数据泄露风险
-
Android WebView File域同源策略绕过
-
Android Fragment注入漏洞
-
Android 初始化IVParameterSpec函数出错
-
iOS 没有注销功能Android Intent Scheme URL漏洞
-
Android Activity组件导出风险
-
Android Service组件组件导出风险
-
Android Broadcast Reciever组件组件导出风险
-
Android Content Provider组件组件导出风险
客户收益
-
避免业务安全隐患
技术层面定性的分析系统的安全性,串联系统安全隐患点,有效验证其存在性及其可利用程度,避免因安全漏洞造成业务损失 -
提供权威安全保障
出具网站安全认证证书、检测报告、官方标识等权威的正式材料,有效提升用户对业务站点的信任度,促进业务快速成交 -
助力企业品牌形象
提升企业网站安全实力的同时,展现企业责任心等正面品牌形象,获取用户好感的同时提高业务竞争力,轻易脱颖而出
联系我们
-
400-875-0855
工作日:10:00-18:00