发帖
雷达卡
初识App安全性测试
目前手机
App测试还是以发现
bug为主,主要测试流程就是服务器接口测试,客户端功能性覆盖,以及自动化配合的性能,适配,压测等,对于
App安全性测试貌似没有系统全面统一的标准和流程,其实安全性
bug也可以是
bug的一种,只不过更加隐秘,难以发现,尤其针对于手机
App。以webview
为主体的
app,站在入侵或者攻击的角度来讲,安全隐患在于
http
抓包,逆向工程。谈这之前先讲讲
webview
相关的app,前一段时间有个曝工资的软件很火,但有查询次数的限制,抓包研究了一下,发现其主要还是
webview
,通过抓包详细分析,才明白他记录查询次数的手段,每一个用户都会分配一个
id,以及一个代表查询次数
count
以cookie
的形式保存到本地,通过维护
cookie
达到限制查询次数的目的,所以清除
cookie
就可以无限制的查询了,个人觉得,
webview
相关的app安全性测试应该还是
web测试那一套,
xss攻击,sql注入等。
大部分app还是走的
http
或者https
,所以防
http
抓包泄露用户信息以及系统自身漏洞是 ...
京公网安备 11010802022788号
