最近有个app项目,需要检测漏洞,大牛们分享下
常见的APP漏洞及风险有:界面截取、输入法攻击、协议抓取、静态破解、本地存储数据窃取等。一般来说,检测App从下面这几个方面进行:
1 程序机密性检测:检查代码混淆、dex保护监测、so保护监测、程序签名检测等安全问题。
2 组件安全检测:扫描代码组件的Activity、Broadcast Receiver、service、Content Provider存在的安全漏洞。
3 数据及业务安全检测:检测APP是否存在数据安全问题,用户账号密码泄漏等风险。
参考内容:http://www.ineice.com/
1 程序机密性检测:检查代码混淆、dex保护监测、so保护监测、程序签名检测等安全问题。
2 组件安全检测:扫描代码组件的Activity、Broadcast Receiver、service、Content Provider存在的安全漏洞。
3 数据及业务安全检测:检测APP是否存在数据安全问题,用户账号密码泄漏等风险。
参考内容:http://www.ineice.com/
温馨提示:答案为网友推荐,仅供参考
第1个回答 2019-08-16
主要的APP漏洞的检测方法:
静态分析
静态分析主要是利用apktool、dex2jar、jd-gui、smali2dex等静态分析工具对应用进行反编译,并对反编译后的java文件、xml文件等文件进行静态扫描分析,通过关键词搜索等静态方式将具有安全隐患的代码进行摘录并存入到检测平台后台,为后续的安全检测报告提供数据依据。
动态分析
动态分析技术是对应用软件安装、运行过程的行为监测和分析。检测的方式为虚拟机方式。沙箱模型方式通过建立安全的沙箱模型,使得移动应用的执行环境是封闭的一个沙箱,不受到沙箱外环境的干扰,结合传统PC机上的沙箱模型原理的分析和研究,得到合适于手机上的沙箱模型。虚拟机方式通过建立与Android手机终端软件运行环境几乎一样的虚拟执行环境,手机应用软件在其中独立运行,从外界观察应用程序的执行过程和动态,进而记录应用程序可能表现出来的恶意行为。
人工分析
人工分析技术是专业安全人员接收到用户提交的待检测应用后,先对其进行安装、运行和试用,通过在试用过程中,逐步掌握该应用的特点,并通过自己的专业经验,来圈定检测重点。人工专业检测在涵盖基础检测和深度检测的全部检测项的同时,兼顾侧重点检测,给予应用更全面、更专业、更贴合应用的量身打造的检测服务。
自动生成检测报告
通过静态、动态分析及人工检测后,会将检测结果以web界面的形式进行展现,同时根据用户需要可以以PDF格式进行下载并本地存储。
第2个回答 2015-09-01
打开APP漏洞检测工具safe.ijiami,点击“马上检测”按钮
选择要上传的APP漏洞应用
APP漏洞应用上传完成,开始检测APP漏洞。
查看APP漏洞检测分析报告。点击“生成报告”按钮,就会生成一个详细的关于你APP漏洞的PDF格式文件,可以了解到你的APP漏洞和容易被黑客攻击的代码部分
看了以上简单地教程,你是不是已经学会了APP漏洞怎么检测,APP开发者对APP漏洞一定要敏感起来,有漏洞及时检测!本回答被网友采纳
选择要上传的APP漏洞应用
APP漏洞应用上传完成,开始检测APP漏洞。
查看APP漏洞检测分析报告。点击“生成报告”按钮,就会生成一个详细的关于你APP漏洞的PDF格式文件,可以了解到你的APP漏洞和容易被黑客攻击的代码部分
看了以上简单地教程,你是不是已经学会了APP漏洞怎么检测,APP开发者对APP漏洞一定要敏感起来,有漏洞及时检测!本回答被网友采纳
