滲透測試在網(wǎng)絡(luò)黑客之前尋找到可造成公司數(shù)據(jù)泄漏、資損、業(yè)務(wù)流程被偽造等困境的漏洞,公司可對漏洞開展應(yīng)急處置、立即修補(bǔ)。防止對公司的業(yè)務(wù)流程、客戶及資產(chǎn)造成影響。
一、專用工具:
1、Android App包
2、安應(yīng)用
二、APP和網(wǎng)頁的滲透測試不太一樣,先詳細(xì)介紹android的滲透測試步驟吧:
1、部件安全性檢測。對Activity安全、Broadcast Receiver安全性、Service安全、Content Provider安全、Intent安全性和WebView的標(biāo)準(zhǔn)應(yīng)用檢測分析,發(fā)現(xiàn)由于程序中不規(guī)范的組件造成的組件漏洞。
2、編碼安全性檢測對代碼加密、Dex維護(hù)、SO保護(hù)、資源文件保護(hù)及其第三方載入庫的編碼的安全解決開展檢測分析,發(fā)現(xiàn)編碼被反匯編和破譯的漏洞。
3、運(yùn)行內(nèi)存安全檢測。檢測APP運(yùn)作環(huán)節(jié)中的運(yùn)行內(nèi)存解決和保障體制開展檢測分析,發(fā)現(xiàn)是不是存有被改動和毀壞的漏洞風(fēng)險性。
4、網(wǎng)絡(luò)信息安全檢測。對數(shù)據(jù)信息鍵入、數(shù)據(jù)儲存、儲存數(shù)據(jù)信息類型、數(shù)據(jù)信息密鑰管理、敏感數(shù)據(jù)庫加密、運(yùn)行內(nèi)存網(wǎng)絡(luò)信息安全、傳輸數(shù)據(jù)、資格證書認(rèn)證、遠(yuǎn)程控制數(shù)據(jù)通訊數(shù)據(jù)加密、傳輸數(shù)據(jù)一致、當(dāng)?shù)財?shù)據(jù)通信安全性、對話安全性、數(shù)據(jù)信息導(dǎo)出、調(diào)試信息、比較敏感信息內(nèi)容表明等環(huán)節(jié)開展漏洞檢測,發(fā)現(xiàn)數(shù)據(jù)儲存和處理方式中被不法讀取、傳送和盜取漏洞。
5、網(wǎng)絡(luò)安全防護(hù)檢測。對賬號登錄,賬號管理,安全支付,身份驗證,請求超時設(shè)定,錯誤處理等開展檢測分析,發(fā)現(xiàn)業(yè)務(wù)流程處理方式中的潛在性漏洞。
6、程序管理檢測。安裝下載:檢測是不是有安全性的運(yùn)用公布方式供客戶在線下載。檢測各應(yīng)用商店是不是存有二次裝包的虛假運(yùn)用;應(yīng)用卸載:檢測應(yīng)用卸載是不是消除徹底,是不是殘余數(shù)據(jù)信息;升級:檢測是不是具有線上版本號檢測、更新作用。檢測更新全過程是不是會被第三方挾持、蒙騙等漏洞;
三、如果是牽涉到服務(wù)項目流程的話:
1、明確意愿。線上填好表格:公司填好測試要求;商務(wù)溝通:商務(wù)在接到表格后,會馬上和意向客戶獲得溝通交流,明確測試意愿,簽署合作協(xié)議;
2、運(yùn)行測試。收集材料:一般包含系統(tǒng)軟件賬號、穩(wěn)定的測試自然環(huán)境、業(yè)務(wù)流程流程等。
3、實行測試。風(fēng)險評估:了解系統(tǒng)軟件、開展風(fēng)險評估,設(shè)計方案測試風(fēng)險防控措施;漏洞發(fā)掘:安全性測試權(quán)威專家分類開展安全性滲透測試,遞交漏洞;匯報歸納:匯總系統(tǒng)軟件風(fēng)險評價結(jié)果和漏洞,推送測試報告。
4、交付成果。漏洞修補(bǔ):公司依照測試報告開展修補(bǔ);重歸測試:彼此根據(jù)合同結(jié)算測試花費(fèi),企業(yè)支付費(fèi)用。
本文內(nèi)容經(jīng)過考證,整理和編寫,部分出處:https://www.webjue.com/
