为进一步做好移动互联网APP产品的安全漏洞管理支撑工作,不断推动《规定》在移动互联网APP产品的落地实施。中国软件测评中心于4月12日举办了“移动互联网APP产品安全漏洞技术沙龙”研讨会。研讨会围绕《规定》解读、漏洞报送、APP漏洞分类分级、漏洞处置修复等内容开展观点分享和讨论。山东新潮信息移动安全负责人-赵宇翱,作为此次沙龙的演讲嘉宾,进行相关议题的分享。
本议题主要介绍了如何对App漏洞进行批量化、自动化挖掘的方法。
内容摘要:
目前市面上大多数APP安全检测平台更侧重针对于APP的静态漏洞检测,检测内容也仅局限于应用自身的安全,相较于一些Web漏洞而言,无法对APP应用的服务器、数据库造成较大的影响。
为了批量挖掘一些价值相对较高、危害较大的APP漏洞,将目标定位到了APP网络通信接口的安全上,通过配置定制化沙箱让需要的数据进行自吐、 或者使用hook方式hook安卓系统网络层的API来获取通信请求、也可以通过采集APP静态资源文件和代码文件获取、还可以部署一些开源安全检测框架来获取网络通信接口。最后将结果汇总并调用第三方的API接口进行二次信息搜集和漏洞探测。
结合自建的APP检测平台可以同时做到APP的静态分析、动态检测和web接口漏洞扫描,从而对APP进行批量化、全方位的漏洞挖掘和安全性分析。
以下为沙龙分享的APP漏洞自动化批量挖掘技术部分PPT内容。
基于HOOK的沙箱:APPMON
基于安卓源码的沙箱:
祝贺CAPPVD“移动互联网APP产品安全漏洞技术沙龙”研讨会圆满成功,也感谢CAPPVD对新潮信息的技术和能力的认可,新潮信息将继续投身于移动应用安全领域研究中,履行职责义务,协助支撑网络产品安全漏洞管理工作,为移动互联网APP产品安全领域贡献一份力量。
山东新潮信息技术有限公司(简称:新潮信息)是一家独立的第三方信息安全服务商,公司成立于2000年,主营业务方向为网络与信息安全技术服务,经过多年的发展,新潮信息积累了丰富的服务经验和客户资源,信息安全服务业务处于业内领先地位。
目前已形成涵盖信息安全等级保护测评、安全攻防及漏洞挖掘、风险评估、技术检测、咨询等30多项服务。
如有对安全行业感兴趣的小伙伴可以踊跃加入我们或者关注我们,新潮信息会第一时间把行业干货分享给大家。
山东新潮信息技术有限公司
地址:山东省济南市高新区汉峪金谷A三区4号楼16层
电话:0531-83532886
传真:0531-83532000
山东省公安厅 中国信息安全测评中心 中国信息安全认证中心 国家互联网信息中心 中国网络安全等级保护网 TIDE信息安全实验室 鲁ICP备10208374号-1
© 2000-2020 版权所有 山东新潮信息技术有限公司