使用APPscan测试手机APP应用
用APPscan测试手机应用和web端使用方法都差不多,只是要把需要测试的客户端和主机服务器连接在同一个局域网内,并用上代理。
1、打开APPscan,Appscan渗透测试,选择“使用外部客户机扫描”
3、在手机或者其他客户端上,连接在同一个局域网,并使用代理,填上相同的IP和端口;
4、录制想要测试APP的登录接口;
5、点击下一步,选“全选”测试策略(全选好像是我自己定义的,上上一篇好像有提到,Appscan,关于APPscan的一些配置),然后就可以点击测试了。
AppScan 常见的漏洞概述
1、SQL注入
1)定义
SQL注入是一种比较常见的高等级漏洞,简单理解,SQL注入就是没有过滤从页面传至接口的字符,攻击者通过将恶意的SQL查询插入到输入参数中,在后台服务器上解析进行执行,终导致数据库信息被篡改或泄露。
2)风险分析
SQL注入可能导致数据库中存储的用户隐私信息泄露,可通过操作数据库对特定网页进行篡改。修改数据库一些字段的值,嵌入木马链接,进行挂马攻击,甚至数据库的系统管理员帐户被篡改。
3)修复方式
A、程序代码里的所有查询语句,使用标准化的数据库查询语句API接口,设定语句的参数进行过滤一些的字符,防止用户输入恶意的字符传入到数据库中执行sql语句
B、对用户提交的的参数安全过滤,HCL Appscan,像一些特殊的字符进行字符转义操作,以及编码的安全转换
AppScan 常见的漏洞概述
4、密码传输未采用复杂加密方式
1)例子
例如密码仅仅采用md5的加密方式,可通过撞库反码。
2)风险分析
单向Hash在被截取到传输中的hash值后,攻击者可以一模一样的请求可成功登录。
3)修复方式
A、添加SALT并进行多次Hash的方式对密码进行加密
B、使用更为的加密方式进行传输
以上所展示的信息由会员自行提供,内容的真实性、准确性和合法性由发布会员负责。东商网对此不承担任何责任。
友情提醒:为规避购买风险,建议您在购买相关产品前务必确认供应商资质及产品质量。推荐使用第三方支付!