移动APP不可避免存在安全漏洞问题,移动应用在设计、开发、运行等过程中有意或无意产生的漏洞,很容易被病毒、木马、黑客等利用,导致用户信息、账号密码泄露,造成金钱财产损失。近几年来,安全漏洞的形式越来越多种多样,拒绝服务、Webview明文存储密码等漏洞深切困扰着企业和开发者。应用审计的重要性也越来越显著。本文介绍了应用审计常用的两种方式:漏洞扫描和渗透测试。
1.漏洞扫描
在漏洞扫描中,黑盒测试是比较常见的手段之一,也方便集成到现有的开发流程中。它能够很方便地提供漏洞详情、漏洞代码行数、风险等级、修复建议等。自动化移动应用安全测试框架Mobile Security Framework就是个很好的工具。
2.渗透测试
以攻击者视角,模拟黑客攻击过程,对APP(Android、iOS)客户端以及对应的服务端进行深入探测,找出应用系统中存在的缺陷和漏洞,及早发现,及早预防。 渗透测试可以有效检测客户端程序安全、敏感信息安全、密码软键盘安全性、安全策略设置、手势密码安全性、通信安全、配置文件、拒绝服务、本地SQL注入等威胁类型。
