内页banner

AI赋能,业界最强的移动APP安全检测是如何实现的?

2021-07-26 14:32:16

       智能终端的普及促进了各种APP应用的快速发展,这些应用极大地方便了人们的工作生活,但是在APP应用快速发展的同时由于其自身存在的一些安全问题也给民众造成了巨大的危害:个人隐私信息泄露、银行账户被窃取等。只有及时地发现存在的安全问题,才能更好地提高APP应用的安全性。

       App的安全威胁主要发生在三个不同的环节,分别为客户端威胁、数据传输端威胁和服务端威胁。


01客户端威胁

反编译、防二次打包、组件导出、Webview漏洞、键盘安全、屏幕截屏风险、数据安全、界面劫持、本地拒绝服务、数据备份风险、Debug调试风险。


02数据传输威胁

数据窃听、中间人攻击、信息泄露。


03服务端威胁

业务逻辑漏洞、SQL注入、XSS、上传漏洞、暴力破解、安全策略。


APP安全检测技术

移动APP的安全主要是漏洞安全和功能安全。漏洞安全是指软件本身在设计、实现、操作、管理上是否存在可被利用的缺陷和弱点,从代码源头去保证漏洞不会被恶意利用;功能安全是指从功能实现的角度确保漏洞遭受恶意攻击的情形下,软件依然可以在授权范围内合法使用及正常运行。

和传统的PC程序安全检测相比,对APP应用程序漏洞的安全检测也分为静态检测和动态检测两部分。

静态检测:

静态检测主要通过检测工具对APP程序的权限配置、程序代码进行检测,多采用反编译,dex2jar反编译出java源代码,apktool反编译出java汇编代码。
通过静态反编译可以分析APP组件的配置与权限,检查App代码的安全性。同时通过对源码的分析了解App加密机制和数据存储情况。采用静态反编译法对App进行安全检测可以最大限度地对App进行安全分析。
动态检测:

采用动态调试的方法可以对一些采用了加壳技术的App程序进行检测,可发现嵌入App中的恶意程序,是更加深入的安全检测方式。


能信安移动应用安全漏洞检测与风险评估系统针对app安全威胁的不同环节提供安全检测,产品采用移动应用APP动态模糊测试技术、移动应用APP漏洞智能识别技术、移动应用APP漏洞动态验证技术、主动探寻移动应用APP服务端漏洞等技术,实现对移动应用APP的安全监控。结合独立的漏洞库对监控到的漏洞给出安全评估报告,报告包含漏洞描述、危害、修复建议等内容。能信安移动应用安全风险评估系统对提高移动应用APP安全监控水平,移动应用APP测试/安全管理人员对移动应用APP应用系统进行安全评估、安全加固起到了很重要的辅助作用。


能信安移动应用安全检测主要项

01流量抓取和分析引擎
获取监听的HTTP的流量,从流量中自动提取资产列表,并利用深度URL去重系统进行URL分类和去重,以供后续漏洞扫描引擎模块使用。

02调度引擎模块
采用内置算法实时监控系统任务运行情况,对各任务进行优化和调整,实现系统资源充分利用及任务高效稳定运行。

03扫描引擎模块
根据配置策略,对被扫描对象进行全面准确的web漏洞、 网页挂马、服务器漏洞、 内网等漏洞进行检测。

04应用安全检测
在移动端APP自身的安全问题更为重要,这就需要开发者在产品开发期间就做好安全工作。应用安全检测是帮助开发人员验证测试APP本身应用包的安全风险和逆向检测。应用安全检测主要检测的内容包括:逆向工程检测、重打包检测、密组件安全等。

05业务操作安全检测
业务操作安全测试检测帮助APP测试人员测试APP运行执行业务操作流程的安全可靠性,及快速发现APP的中密码体系设计是否完整。帮助测试人员更专注于分析APP 整个业务操作体系的设计缺陷。业务操作安全测试检测主要检测的内容包括:登录业务安全、验证码安全检测等。

06数据通信安全检测
数据通信安全检测对APP运行和关闭状态多有数据的安全检测。帮助APP测试人员测试APP数据的生产、传输、存储、使用各个环节及APP数据在网络传输过程中的薄弱点。数据安全检测主要检测的内容包括:数据有效性检测、会话信息检测等。

07服务端安全检测
服务端安全检测是测试服务端的稳定性和安全性。帮助APP测试人员快速及时发现服务端隐藏的安全风险,提高服务器的抗攻击能力和安全性。服务端安全检测包括但不仅限于(代码注入漏洞、弱口令漏洞、服务器端信息泄漏等漏洞检测)。

08完善的结果展示
能信安移动应用安全风险评估系统对每个测试流程细到每个测试小项都会有记录,最后整合所有测试项并对测试结果进行评分得出一个直观的应用测试报告。报告包含应用基本信息、测试相关信息、测试结果、测试评分等内容,报告可输出多种格式。

09多用户管理及审计
多用户管理:
管理员权限划分:操作员、分析员、管理员、审计员、超级安全员等角色。
操作日志和审计:
管理员的登录成功和失败;
对安全角色进行增加、删除和属性修改的操作;
对扫描结果的备份和删除;
管理员的其他操作等。


能信安APP检测产品核心功能:
1.加固对抗+深度静态检测功能:能够对加固技术进行深度解析,从而实现对APP程序的逆向分析和非运行状态下的深度检测;
2.真机沙箱+动态检测功能:独创性地设计了基于沙箱检测技术的真机检测环境和APP程序动态检测功能,实现对APP
客户端程序在运行状态下的客户端、数据通信和服务端API接口程序的动态检测;
3.违法违规行为专项检测:对违反用户个人信息保护要求的行为(越界获取权限、窃取用户数据)进行检测并出具专项报告;
4.违法违规内容专项检测:对涉黄涉赌等内容进行检测并出具专项检测报告。


能信安APP检测产品特点:
覆盖面广:覆盖移动应用的客户端、通信管道、后台服务端。安全检测从应用自身安全、业务操作安全、通讯数据安全、服务端安全4方面360度全面无死角发现APP安全漏洞。

脱壳检测:可识别Android程序是否有加壳处理及壳的提供商,并支持对加壳处理后Android程序实行自动脱壳后进行安全检测,发现更深层次的移动应用安全问题。目前支持脱掉市面上绝大多数移动应用安全厂商的免费壳。
检测项目多:超过100个安全检测项,五个规则库涵盖恶意代码、恶意URL、恶意行为、主机漏洞、应用漏洞,且持续快速更新。
覆盖过程全:覆盖应用开发全过程、应用安装包检测、应用运行时检测、应用卸载。
对标能力强:全面对标常规基准、行业标准、监管要求等。
检测效率高:最快可在2小时内完成移动应用客户端、通信管道、后台服务端安全检测。
测试环境灵活:可在内网、外网开展移动应用安全检测。
多平台兼容:全面支持Android/iOS应用。
多路监听技术:基于网络流量监听引擎,从流量中自动提取资产列表,实现对大规模移动应用API的快速有效扫描,包括孤岛页面。
微信公众号支持:首款支持微信公众号安全测试。
测试/分析分离:测试人员根据安测宝的测试指引进行测试;分析人员在后台根据测试的结果进行APP的安全性分析。分工合理、明确、高效。