安全測試總結(jié)

操作系統(tǒng)安全&數(shù)據(jù)庫加固

  • secureCRT。同時掃描數(shù)據(jù)庫和操作系統(tǒng)測試報告比較清晰,還告訴了如何去重現(xiàn)校驗
  • ngs 掃描數(shù)據(jù)庫
  • nessus 掃描數(shù)據(jù)庫

代碼掃描

工具

  • fortify。側(cè)重代碼質(zhì)量
  • coverity。側(cè)重代碼安全

手動搜索

  • 日志不能打印敏感數(shù)據(jù),可以全局正則搜索user,token,pwd。最好和開發(fā)人員訪談確認(rèn)關(guān)鍵詞

隱私保護

  • LBS 安全大師
  • 根據(jù)《產(chǎn)品隱私權(quán)限列表》進行測試,每次使用個人數(shù)據(jù)時是否有授權(quán)提示框

apk 安全

  • intent fuzzer 工具
  • 根據(jù)AndroidMainifest.xml中的權(quán)限設(shè)置,是否有多于權(quán)限
  • 其他AndroidMainifest.xml的默認(rèn)設(shè)置,allowbackup,debug,私有activity的設(shè)置等
  • rf explorer 管理器查看應(yīng)用包里的屬性,other的權(quán)限應(yīng)該是--。以及存儲日志的關(guān)鍵字搜索等
  • 抓包修改apk客戶端的字段,fiddler
  • 反編譯。dex2jar+jd-gui 查看代碼,搜索一些敏感關(guān)鍵字,無明文硬碼密碼,

apk病毒

  • .McAfee Mobile Security

第三方類庫掃描

  • CVE
  • CVSS評分標(biāo)準(zhǔn): 漏洞的最終得分最大為10,最小為0。得分710的漏洞通常被認(rèn)為比較嚴(yán)重,得分在46.9之間的是中級漏洞,0~3.9的則是低級漏洞。
  • 基于CVE二次開發(fā)工具
  • 也可使用cvechecker

口令安全

  • 加密驗證。走讀代碼
  • 其他。如每次的加密都是唯一的,不得使用Random函數(shù)作為秘鑰,不得使用有規(guī)則的隨機種子

證書安全

  • 替換證書
  • 證書到期

web安全

sql注入

補充

  • 跨站腳本工具 fortify webinspect
  • sql注入工具 fortify webinspect
  • 跨目錄訪問工具 fortify webinspect
  • 權(quán)限驗證 手工
  • 隱通道 手工
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

推薦閱讀更多精彩內(nèi)容