移动APP渗透测试服务

爱加密移动应用人工渗透是基于移动应用程序数据的完整生命周期的安全检测服务。从黑客思维和调试角度出发，多方面对移动应用的程序安全、数据安全、业务逻辑安全、系统环境安全等内容进行静、动态的人工分析，以获取应用安装卸载过程、用户数据输入、存储处理、网络传输以及所处系统环境等方面的安全隐患。爱加密移动应用人工渗透支持Android、iOS两大平台。报告将针对分析过程中使用的渗透工具、渗透步骤、问题代码位置、潜在风险以及问题解决方案均进行详细的描述。
检测依据:《信息安全技术移动智能终端个人信息保护技术要求》《YD/T 2307-2011 数字移动通信终端通用功能技术要求和测试方法》《电子银行安全评估指引》《中国金融移动支付应用安全规范》《YD/T 1438-2006 数字移动台应用层软件功能要求和测试方法》《电子银行业务管理办法》《中国金融移动支付客户端技术规范》《移动互联网应用软件安全评估大纲
主要功能
1、常规检测
对基础信息检测、常规漏洞和敏感行为的APP基本信息进行渗透评估。
2、应用安全渗透评估
针对业务安全、组件安全、WebView安全、发布规范、应用管理、安全增强方面进行渗透评估。
3、源码安全渗透评估
针对程序完整性、程序机密性进行渗透评估。
4、数据安全渗透评估
针对数据输入、存储、传输和输出进行渗透评估。
5、解决建议
对渗透测试发现的风险及漏洞，建议会根据每一项的检测结果，为应用漏洞进行最专业的渗透分析并提供专业的漏洞安全修复建议。
产品特点
人工渗透测试平台：Android平台人工检测项目，包含10大项、47个检测子项
人工渗透测试平台：iOS平台人工检测项目，包含5大项、19个检测子项
1、安全检测
100多检测项目、20+资深的安全专家，提供全面可靠的安全检测分析。
2、企业验证
符合行业安全标准检测，数百家企业验证
3、全面覆盖
在涵盖基础检测和深度检测的同时，兼顾侧重点检测，给予更全面、更专业、更贴合应用量身打造的检测服务
应用指南:
本服务为安全专家为客户提供现场服务，完成后提供报告。
应用指南
1、渗透测试工具
AndroidKiller：AndroidKiller集成了apktool、dex2jar、jd-gui、signapk.jar等各款流行的apk线性反编译工具，能集中实现对apk的反编译、查看Java代码、回编译、签名等操作。
Jeb：Jeb可将apk、dex文件转化为smali、java等代码，且可读性极高，方便方法逻辑的逆向分析。
IDA
Pro：Ida Pro是二进制分析工具，可以对apk中C/C++代码编写的so文件进行流程分析，其附带的F5插件功能更是可以将ARM汇编生成伪代码，方便查看逻辑。
Fiddler2：在同一局域网内，通过代理的方式将手机端的流量转向该工具，从而对特定APP的网络传输数据进行分析。
DDMS：在adb桥连手机的情况下，使用DDMS监视Android系统上APP运行产生的流程日志。
应用劫持：应用劫持是爱加密开发的一款在Android手机上对特定界面进行劫持的小工具，通过它来检测APP是否有防止界面劫持的提示。
Inject：Inject是爱加密为测试进程注入而来发的Native工具，在执行命令后，会将同路径下的libhello.so注入到指定的进程中。
2、渗透测试内容
身份鉴别：身份鉴别安全，登录限制策略，会话管理机制
访问控制：敏感组件安全，敏感数据安全
系统安全审计
源码控制安全：源码反编译安全，二次打包安全，键盘监控安全，屏幕截屏安全，签名检验安全
代码质量分析：输入验证安全，api误用，硬编码安全，日志控制安全，时间和状态，异常处理
安全漏洞分析：WebView远程代码执行，HTTPS主机名验证安全，URL攻击漏洞，WebView忽略SSL证书漏洞，Intent隐式调用意图，X509 TrustManager信任任意证书，Dex动态加载风险，弱加密算法风险，本地SQL注入，拒绝服务漏洞，文件遍历漏洞，allowbackup备份风险
其他安全漏洞：界面劫持安全，进程注入安全，任意资源文件篡改风险