【移动安全基础篇】——00、移动应用安全检测清单

客户端

  • 应用可被进行逆向工程/缺乏代码混淆
  • 跨站脚本攻击
  • 认证绕过
  • 应用代码中存在硬编码敏感信息 (包含秘钥)
  • 恶意文件上传
  • 固定会话攻击
  • 权限提升
  • SQL 注入
  • 双因子认证绕过
  • LDAP 注入
  • 系统命令执行
  • iOS snapshot/backgrounding 漏洞 ( iOS )
  • Debug 设置为 TRUE ( Andriod )
  • 应用使用不安全的加密方式
  • 在SSL 隧道下传递明文信息
  • 客户端验证可被绕过
  • 非法的 SSL 证书
  • 敏感信息明文(缺乏数据保护)传输
  • 登录页面缺乏验证码机制
  • 修改密码页面未设计或设计不当
  • 应用日志文件存放敏感信息
  • 敏感信息作为参数传递
  • 敏感信息可通过内存 Dump
  • 应用允许运行在已root或越狱的设备上
  • 返回刷新 ( Back-and-Refresh ) 攻击
  • 目录浏览
  • Cookie过期机制设计不当
  • URL 重定向攻击
  • 代码中缺乏异常处理机制或设计不当
  • 不安全的应用权限
  • 未确认证书链
  • 内网 IP 泄露
  • 通过修改 RMS/JAR 文件显示 UI
  • 操作过期或已被释放的资源
  • 未设置证书锁定机制 ( Certificate Pinning ) / SSL通信未检查证书有效性
  • 应用关闭后缓存的Cookie或敏感信息未被删除
  • 未使用 ASLR
  • Android ADB 备份漏洞
  • 数据存储未加密的认证信息 (sqlite db)
  • 在 APP 沙盒外存储敏感信息 (在 SDCard 上)
  • 应用数据允许全部权限
  • 秘钥或敏感数据明文存储
  • 证书锁定机制 ( Certificate Pinning ) 绕过
  • 忽略证书验证
  • 忽略 SSL 证书错误
  • Weak Custom Hostname Verifier
  • App/Web 缓存的敏感文件泄露
  • 授权额外权限
  • 使用可被伪造的内容 ( IMEI, UDID ) 进行用户验证
  • 使用不安全或已被弃用的算法
  • 本地文件包含 (可能通过 XSS 漏洞)
  • Android Activity 劫持
  • Android 应用服务劫持
  • Android 广播窃取
  • Android 恶意广播注入
  • 使用设备标识符作为 Session
  • 缺乏和校验或文件篡改检测

服务器端

  • 响应包返回明文密码
  • 未授权引用内网文件
  • 后端对缺乏会话管理或会话设计不当
  • 跨域脚本漏洞
  • 服务器端缺乏输入验证机制
  • 错误页面泄露敏感信息
  • 应用允许除 GET 和 POST 外的其他 HTTP 方法
  • 跨站伪造请求/服务器端请求伪造
  • Cookie 中未设置 Path、HttpOnly、Secure 属性
  • 应用可被点击劫持或触屏劫持
  • 缺乏适当的超时机制

你可能感兴趣的:(【移动安全】,#,移动安全基础篇)