移动应用渗透测试的10个最佳实践 多次磨炼后的经验总结

上周安全加介绍了渗透测试移动应用渗透测试5个关键步骤,今天这篇文章移动应用渗透测试的最佳实践和经验总结,建议有一定工作经验的渗透测试人员看看,其中包括OWASP提供的iOS移动应用渗透测试清单。据Veracode称,

移动应用程序渗透测试,试图利用这些漏洞,来确定是否可能进行未经授权的访问或其他恶意活动。”

移动测试是任何全面安全计划中的重要组成部分。以下是进行移动测试时要遵循的10个最佳实践。

推荐阅读:

创建一个详细的计划 需要包含测试要点

为了从移动应用渗透测试中获得最有效的结果,您需要先制定某种方法,以确定您将如何执行此操作。很明显,每个移动应用程序环境彼此都会不同。因此,这一点不可忽视,同时要考虑清楚究竟需要测试什么。

OWASP提供的这张备忘单是开始这方面最好的列表之一。需要注意的是它是为iOS渗透移动应用程序创建的,尽管如此,该原则仍然适用于不同的情况。备忘单用图形表示如下:

选择正确的渗透测试工具

有许多测试试工具可用 – 有些是供应商提供的(付费),还有许多工具可以免费下载和使用。选择何种工具将主要取决于您使用的环境。以下是一些最受欢迎的移动测试试工具:

  • Cydia
  • Apktool
  • Appcrack
  • Burp Proxy
  • Wireshark
  • OWASP ZAP
  • Tcdump

准备一个全面的测试环境

您必须非常详细地规划您的测试环境。例如,尽管理论上苹果已经让iPhone越狱变得相当困难,但如果用户知道他们在做什么,它仍然可以完成。因此,当在iPhone环境中进行测试时,还需要进行真正的越狱,以发现安全问题。您可以使用以下资源:

  • 对于iOS:www.evasi0n.com
  • 对于Android:www.oneclickroot.com/

明智地管理您的时间

您正在进行的渗透测试的规模,决定了您需要具备有效的时间管理技能。例如,您可能有时并未测试整个移动应用程序,只是其中的一部分。因此,请使用适当的时间进行测试,然后转到下一个项目,而不必关注细节。

启动服务器攻击

测试服务器环境,以及测试应用程序托管和下载的服务器同样重要。在这方面,更常用的工具之一是Nmap。有些方面需要在这里进行记录,包括:

  • 智能手机和服务器之间的身份验证机制(例如,Apple在用户从苹果商店下载移动应用程序之前,必须执行许多身份验证步骤)
  • 任何授权和未经授权的文件上传
  • 任何打开的重定向
  • 跨源资源共享

保持专注、耐心、全面

请记住,涉及的测试规模大小不同,移动应用测试可能是一项非常繁琐且费力的任务。有时候很想绕过一个步骤,或者甚至加速计划的某一个部分的过程。但是,永远不要这样做。请记住,您的工作是挖掘任何潜在的安全漏洞。例如,如果您故意错过了渗透计划中的重要一步,那么不仅您,而且您所工作的组织可能需要对可能发生的任何后续损害承担责任。换句话说,遵循这个指导原则:

永不假设移动应用程序的工作过程。始终假设它已经被各种可能的情况攻破了。

启动网络攻击

当测试无线设备/智能手机与移动应用程序下载服务器之间的网络连接时,请始终使用网络嗅探器。这些工具用于收集重要的信息和数据,不仅涉及网络流量本身,还包括数据包。从结果中可以确定和制定需要完成的测试类型。无论如何,应包括以下内容:

  • 检查部署的认证、授权和会话管理机制
  • 检查实施的加密协议
  • 移动设备渗透测试

使用源仪器

这个过程涉及到创建一段专门的代码,并将其分层到已经开发的源代码上。这样做的主要目的是创建一个“后门”,以更细化的级别调查源代码对象。有了这个,您可以诊断源代码中可能是安全漏洞的任何未知错误或缺陷。

通过练习,保持移动应用程序的测试技巧

通过不断练习,尽可能地保持自己的技能非常重要。以下网站提供了一些工具,您可以在这些工具中进一步(并且安全地)磨练您的测试技能:

进行二进制和文件级分析

在这方面,如果您正在努力测试内置的应用程序编程接口(API)调用,以及那些内置的访问控制。在这种情况下,您还应该检查以下内容:

  • 缓冲区溢出
  • 检查基于SQL注入攻击的可能性

这里使用的一些常用工具包括:

结论

本文回顾移动应用测试人员的重要注意事项。每个测验环境都会有所不同,因此必须对这些最佳实践进行修改和调整以符合环境条件。然而,正确的计划和使用最好的工具是重中之重,测试者的重点也是如此。因此在疲劳的情况下,记得多备份,这样就不会遗漏需要关注的细节。

资料来源:

  • https://techbeacon.com/how-hack-app-8-best-practices-pen-testing-mobile-apps
  • Best practices to follow for iOS mobile app testing

  • https://www.tripwire.com/state-of-security/security-data-protection/seven-steps-towards-mobile-penetration-testing/
  • https://infinum.co/the-capsized-eight/10-app-testing-principles
  • https://www.owasp.org/index.php/IOS_Application_Security_Testing_Cheat_Sheet
  • www.oneclickroot.com
  • www.evasi0n.com
  • https://www.veracode.com/security/penetration-testing
  • www.owasp.org
  • www.nmap.org
  • Best practices to follow for iOS mobile app testing

  • https://www.owasp.org/index.php/Projects/OWASP_Androick_Project
  • https://sourceforge.net/projects/mobisec/
  • http://damnvulnerableiosapp.com/#about
  • https://www.hex-rays.com/products/ida/
  • https://www.hopperapp.com/

原文链接:http://resources.infosecinstitute.com/10-best-practices-mobile-app-penetration-testing/

发表评论