如今几乎所有App都是网络强相关的,许多App展示的内容都是通过界面从服务器上获取的
,当然,服务器也会收到客户端上传的大量数据,当两个App之间进行双向传输时,很容易被
第三方截获,造成数据被盗取,界面被盗刷,因此对APP安全扫描工具的需求越来越多,都希
望自己开发的APP安全无漏洞,那么主要检测APP漏攻的测试功能点有哪些,下面由SINESAF
E工程师给大家介绍一些需要测试的功能:
静态反编译,对应用源代码进行静态安全风险分析,对Android组件安全、应用程序安全、数据
安全进行检测。动态检测,在Android模拟器上运行,检测包含客户端本身的安全性,Android
组件增强检测,应用程序通信安全性,数据安全性。仿真人机交互。仿真用户与手机之间的交
互行为,检测在交互过程中应用程序的安全风险。
安全进行检测。动态检测,在Android模拟器上运行,检测包含客户端本身的安全性,Android
组件增强检测,应用程序通信安全性,数据安全性。仿真人机交互。仿真用户与手机之间的交
互行为,检测在交互过程中应用程序的安全风险。
服务器指纹检测,检测后台服务器的指纹,进行安全分析,检测后台服务器系统,开发框架,
Web服务器,数据库等服务组件的安全性。检测服务器后端API。在应用通信过程中对资源地
址进行抓取,检测应用与服务器之间的通信接口是否存在SQL注入、XSS跨站、中间人攻击等
安全问题。其实现原理实际上也很简单,就是收集了一些扫描平台的工具和命令,比如Andro
idApp可以使用Drozer进行静态扫描,还有丰富的反编译工具和命令。
Web服务器,数据库等服务组件的安全性。检测服务器后端API。在应用通信过程中对资源地
址进行抓取,检测应用与服务器之间的通信接口是否存在SQL注入、XSS跨站、中间人攻击等
安全问题。其实现原理实际上也很简单,就是收集了一些扫描平台的工具和命令,比如Andro
idApp可以使用Drozer进行静态扫描,还有丰富的反编译工具和命令。
当然大部分扫描平台都是收费的,实际上也有像Sinesafe这样的开源安全扫描平台。手机安全
框架(sinesf)是一个自动测试框架(Android/iOS/Windows),它能对手机应用进行静态、动态和
恶意软件分析。在Android、iOS和Windows移动应用程序中,它可以进行高效、快速的安全分
析,并支持二进制文件(APK、IPA和APPX)以及压缩源代码。在运行时,sinesf能够对Android
应用程序进行动态测试,并且有一个WebAPI模糊测试,它是由CapFuzz(一个专门针对WebA
PI的安全扫描程序)提供支持的。sinesf设计用于为CI/CD或DevSecOps管道提供无缝集成。
框架(sinesf)是一个自动测试框架(Android/iOS/Windows),它能对手机应用进行静态、动态和
恶意软件分析。在Android、iOS和Windows移动应用程序中,它可以进行高效、快速的安全分
析,并支持二进制文件(APK、IPA和APPX)以及压缩源代码。在运行时,sinesf能够对Android
应用程序进行动态测试,并且有一个WebAPI模糊测试,它是由CapFuzz(一个专门针对WebA
PI的安全扫描程序)提供支持的。sinesf设计用于为CI/CD或DevSecOps管道提供无缝集成。
