移动安全分享课件.ppt

移动安全分享课件.ppt

ID:58449405

大小:7.43 MB

页数:19页

时间:2020-09-07

移动安全分享课件.ppt_第1页
移动安全分享课件.ppt_第2页
移动安全分享课件.ppt_第3页
移动安全分享课件.ppt_第4页
移动安全分享课件.ppt_第5页
资源描述:

《移动安全分享课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、-阿里安全12:22微应用测试分享渗透环境搭建和渗透思路渗透环境搭建----Burpsuit抓包ios,andriod手机二.证书导出一.代理链接渗透环境搭建----Burpsuit抓包ios,andriod手机四.测试演示三.加载证书渗透思路–常见问题1.重置密码,验证码绕过,更改响应返回的数据包为正确响应;2.更改uid数据包,可以水平权限3.直接修改本地的文件的用户名密码,手机默认读取db登陆;4.密码找回验证,在最后一步更改密码时候,替换手机号5.当数字验证码没有输错次数限制,会导致暴力破解6.短信验证码在数据包中返回7.app关闭再重新打开,用户名和密码发送到服务端8.

2、语音短信验证,抓包后,不断发包,就会语音电话不断,要做好间隔次数限制9.任意用户册中,发送注册请求后直接返回了验证码值10.在最后完成时,将号码改为任意手机号渗透思路–微应用安全测试checklist1.重要id参数是否可遍历化(ID=42007下个42008,id与信息返回重要权限等相关)2.微应用登陆注册密码找回是否验证码,密码输错次数,验证码输错是否有业务惩罚(禁止15分钟,下次验证码更新),密码策略(字母+数字),登录口被撞库接口大量被调用,服务端对单一ip或设备是否有接口访问限制;3.所有输入口字符长度限制由服务端完成而非前端限制;4.输入输出口是否存在xss;(输入口

3、验证dom型xss,输出口验证反射型和存储型,测试验证需使用ios手机)5.代码有无sql注入过滤;h5输入点可以验证6.信息是否泄露(前端信息展示与服务端接口提供信息是否一致)7.短信轰炸,是否可以连续请求接口,发送短信给指定用户;(比如注册,密码找回,短信验证)8.水平权限,A用户是否可以查看B用户的接口信息;9.垂直权限,A用户是否可以通过更改接口id参数,看到自己权限范围外的信息;10.参数更改(比如更改进度等参数,会不会导致crash)11.企业服务端敏感日志排查,是否脱敏;12.url跳转,需要白名单13.其它,参见owapstop10常见web漏洞;微应用安全测试c

4、hecklist-id参数可遍历化微应用安全测试checklist-密码验证码次数微应用安全测试checklist-短信轰炸微应用安全测试checklist-长度校验微应用安全测试checklist-xss测试微应用安全测试checklist–SQL注入微应用安全测试checklist-信息泄露微应用安全测试checklist-水平和垂直权限微应用安全测试checklist-参数更改微应用安全测试checklist-日志排查微应用安全测试checklist-url跳转微应用安全测试checklist-jsonp谢谢大家~

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。