欢迎来到天天文库
浏览记录
ID:58449405
大小:7.43 MB
页数:19页
时间:2020-09-07
《移动安全分享课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、-阿里安全12:22微应用测试分享渗透环境搭建和渗透思路渗透环境搭建----Burpsuit抓包ios,andriod手机二.证书导出一.代理链接渗透环境搭建----Burpsuit抓包ios,andriod手机四.测试演示三.加载证书渗透思路–常见问题1.重置密码,验证码绕过,更改响应返回的数据包为正确响应;2.更改uid数据包,可以水平权限3.直接修改本地的文件的用户名密码,手机默认读取db登陆;4.密码找回验证,在最后一步更改密码时候,替换手机号5.当数字验证码没有输错次数限制,会导致暴力破解6.短信验证码在数据包中返回7.app关闭再重新打开,用户名和密码发送到服务端8.
2、语音短信验证,抓包后,不断发包,就会语音电话不断,要做好间隔次数限制9.任意用户册中,发送注册请求后直接返回了验证码值10.在最后完成时,将号码改为任意手机号渗透思路–微应用安全测试checklist1.重要id参数是否可遍历化(ID=42007下个42008,id与信息返回重要权限等相关)2.微应用登陆注册密码找回是否验证码,密码输错次数,验证码输错是否有业务惩罚(禁止15分钟,下次验证码更新),密码策略(字母+数字),登录口被撞库接口大量被调用,服务端对单一ip或设备是否有接口访问限制;3.所有输入口字符长度限制由服务端完成而非前端限制;4.输入输出口是否存在xss;(输入口
3、验证dom型xss,输出口验证反射型和存储型,测试验证需使用ios手机)5.代码有无sql注入过滤;h5输入点可以验证6.信息是否泄露(前端信息展示与服务端接口提供信息是否一致)7.短信轰炸,是否可以连续请求接口,发送短信给指定用户;(比如注册,密码找回,短信验证)8.水平权限,A用户是否可以查看B用户的接口信息;9.垂直权限,A用户是否可以通过更改接口id参数,看到自己权限范围外的信息;10.参数更改(比如更改进度等参数,会不会导致crash)11.企业服务端敏感日志排查,是否脱敏;12.url跳转,需要白名单13.其它,参见owapstop10常见web漏洞;微应用安全测试c
4、hecklist-id参数可遍历化微应用安全测试checklist-密码验证码次数微应用安全测试checklist-短信轰炸微应用安全测试checklist-长度校验微应用安全测试checklist-xss测试微应用安全测试checklist–SQL注入微应用安全测试checklist-信息泄露微应用安全测试checklist-水平和垂直权限微应用安全测试checklist-参数更改微应用安全测试checklist-日志排查微应用安全测试checklist-url跳转微应用安全测试checklist-jsonp谢谢大家~
此文档下载收益归作者所有