APP审计之白帽必杀技-凌迟（52页）.pdf

1、姓名姓名凌迟APP审计之白帽必杀技前言移动端APP的渗透在渗透测试这个领域早已是常态，在大部分白帽子的视角下，APP的安全审计工作，主要还是趋于网络接口层面的 OWASP TOP10，本次议题旨在从白帽子的视角下展开描述当涉及到APP的审计项目时，如何在除了常规web渗透的其他层面发现安全风险。目录1.移动APP架构中的威胁目标2.业务场景中的审计流程3.未来展望移动APP架构中的威胁目标风控安全通信安全运行时安全应用组件安全应用自身安全OWASPTOP 10何为安全风险？大部分是由于开发人员在开发APP的过程中不安全的代码编写方式或没有考虑相应的安全性导致。应用自身安全证书存储风险证书存储风

2、险完整性校验完整性校验二进制文件安全性二进制文件安全性敏感数据检测敏感数据检测敏感资源文件未加密敏感资源文件未加密敏感资源文件未加密App使用了第三方的代码执行引擎编写客户端的业务逻辑代码，这些代码以脚本的形式保存在App的资源文件中。由于没有对这些文件进行加密保护，攻击者可以直接从资源中获取本地业务逻辑代码，并发起其他攻击，如篡改、植入恶意代码、网络协议分析等。完整性校验攻击者可以篡改应用（插入恶意代码、木马、后门、广告等），重新签名并且二次发布，导致应用程序完整性被破坏。证书存储风险APP中使用的数字证书可被用来校验服务器的合法身份，以及在与服务器进行通信的过程中对传输数据进行加密、解密运

3、算，保证传输数据的保密性、完整性。明文存储的数字证书如果被篡改，客户端可能连接到假冒的服务端上，导致用户名、密码等信息被窃取；如果明文证书被盗取，可能造成传输数据被截获解密，伪造客户端向服务器发送请求，篡改服务器中的用户数据或造成服务器响应异常。二进制文件安全性代理检测代理检测反调试反调试环境检测环境检测反反注入注入二进制文件安全性代理检测代理检测反调试反调试环境检测环境检测反注入反注入二进制文件安全性代理检测代理检测反调试反调试环境检测环境检测反注入反注入二进制文件安全性代理检测代理检测反调试反调试环境检测环境检测反注入反注入反调试反调试代理检测代理检测反调试反调试环境检测环境检测代理检测代

4、理检测反调试反调试反调试反调试反调试反调试反调试反调试代理检测代理检测反调试反调试反调试、反注入抓包问题现阶段，客户端会校验服务器的证书如果直接安装charles或burp的证书，会导致校验失败，无法抓包抓包问题解决方案：patch掉相关流程，忽略校验过程Android端：构造HttpClient，设置HostnameVerifier时参数使用ALLOW_ALL_HOSTNAME_VERIFIER或空的HostnameVerifier，关闭主机名校验即可iOS端：hookTCPIOConnection即可Android：justTrustMeiOS：SSL Kill Switch代理检测安装了

5、https证书，开了绕过ssl的插件，但提示网络请求失败？代理检测环境检测ROOT检测模拟器检测越狱检测敏感数据检测IPA/APK包中的敏感包中的敏感数据数据代码中残留的敏感代码中残留的敏感URL通用解密算法参数通用解密算法参数通用加密算法参数代码中往往会出现一些包含敏感信息的常量字符串，例如：在代码中硬编码AES加密的key、iv等，或用户的VPN密码等。APP包中的敏感数据代码中敏感的URLURLScheme应用组件安全serviceactivitycontent providerbroadcast receiver第三方第三方SDKservice第三方第三方SDKAndroid 四大组件

6、四大组件的安全问题，一般检测方式就是直接通过在线工具直接进行检测FFMpegffmpeg在处理 HLS 播放列表文件的过程中，由于支持非常多的协议，如http、file、concat等等，导致可以构造恶意的url造成 SSRF 攻击和本地文件泄露FFMpegZipperDown使用第三方zip库在解压zip文件过程中没有考虑文件名中带有”././”这样的情况，从而产生了目录穿越漏洞。因此，如果一个iOS 应用下载了恶意的zip文件，并且使用ziparchive库解压，利用漏洞可以做到app container目录下