文档章节

APP安全测试 从服务器端到网站端做全面的安全检测

 网站安全
发布于 2019/12/13 14:57
字数 1483
阅读 26
收藏 0

很多公司都有着自己的APP,包括安卓端以及ios端都有属于自己的APP应用,随着互联网的快速发展,APP安全也影响着整个公司的业务发展,前段时间有客户的APP被攻击,数据被篡改,支付地址也被修改成攻击者自己的,损失惨重,通过朋友介绍找到我们SINE安全做APP的安全防护,我们对客户APP进行渗透测试,漏洞检测,等全方位的安全检测。通过近十年的APP安全维护经验来总结一下,该如何做好APP的安全,防止被攻击。

根据我们SINE安全的研究发现,国内大部分的APP应用都存在安全隐患,我们对其进行过安全测试,结果发现百分之40的APP使用的是http来进行数据的传输,包括用户的登录账户与密码,百分之22的用户使用SSL证书来对数据进行加密传输,百分之80的APP应用都使用的明文在存储手机上数据,百分之75的APP没有进行安全加固,由此看来整个移动互联网的APP应用都存在着安全风险,随着移动5G的普及,万物互联的局势将要到来,APP的安全起着重要的作用,速度再快,安全没有保障,出现的用户信息泄露,以及数据篡改等情况的发生,对任何一家企业都是致命的。

如何对APP进行安全测试与安全加固?

我们SINE安全在这里跟大家详细的分享一下,希望能帮到更多APP应用企业。大部分APP都使用的是服务器作为后端,那么我们在APP安全加固的同时,也要做好服务器的安全包括windows,linux系统的安全加固,对服务器的端口进行安全设置,实行端口安全策略只允许APP端与服务器进行通信,拒绝任何外部的IP访问与扫描,同时也要对服务器的SSH,mstsc远程登录做安全身份验证,对服务器做全面的渗透测试,符合信息安全等级保护,与服务器的远程连接可以启用IP安全策略,将IP单独加入白名单,例如:阿里云服务器,可以在阿里云控制台,端口安全,单独放行IP。

网站安全也叫web安全,很多APP都嵌入网站来使用一些接口调用,方便快捷的同时,也要对网站进行安全加固,包括网站的漏洞进行检测,代码人工安全审计,网站木马后门的检测与清除,网站防篡改部署,网站日志安全分析,定期的对网站进行安全巡检等安全工作,自己对安全加固不是太懂的话也可以找专业的网站安全公司来处理,国内SINESAFE,绿盟,启明星辰,都是比较不错的,网站需要启用https协议访问,通过SSL证书来加密APP的数据传输。

APP的代码加密与混淆,APP在开发的同时一定要对代码进行混淆加密,对核心功能包括一些支付功能,都做代码的加密,对APP的每段代码进行人工安全审计,提前检测出APP漏洞进行修复,防止攻击者下载APK逆向进行代码的解密操作,对数据的传输做AES加密,混合多层次的加密与解密,防止通过数据抓包来篡改数据进行POST到API接口,达到篡改数据的目的,有些APP存在一些逻辑功能,都是通过APP数据抓包来实现的,有些APP开发者并没有对一些权限做严格的安全判断与限制,导致可以绕过,直接执行其他账户的操作,像账户的密码修改,资料修改等等。

对APP用户登录做安全认证,增强APP接口的安全,增加身份安全验证,包括人脸以及手机短信验证码,再结合手机设备信息来安全认证,防止恶意登录。在支付的接口做数据传输的双向加密措施,支付网关与APP的服务器IP做绑定,数据做SSL加密传输,AES加密。

很多公司的APP运营者都十分重视APP的安全问题,APP安全了,才能保障整个公司业务的安全,在APP开发阶段应该对APP进行安全测试,包括APP安全渗透,渗透测试服务,APP的逆向破解保护,如果您的APP数据被篡改,用户信息被泄露,肯定是APP存在漏洞,找专业的渗透测试公司来帮您找到APP存在的漏洞,防止攻击扩大化,将损失降到最低。国内比较专业的渗透测试公司,像SINE安全,启明星辰,绿盟,深信服,都是比较专业的,APP安全要从多个方面去入手,服务器安全,网站安全,APP代码,传输加密,接口安全等等方面去深入的安全加固,来增强公司安全团队的安全应急快速响应的能力。

© 著作权归作者所有

网站安全

粉丝 7
博文 205
码字总数 297770
作品 0
青岛
私信 提问
加载中

评论(0)

java多线程和长连接,三方转换通信的实践(1)——转换端程序

由于工作网络安全关系,我们一个项目的公共服务网站部署在外网,而数据库(并非只供外网访问,内网也要使用数据库)部署在内网,重要的是外网不能直接访问内网,这就打破原来网站的访问顺序了...

JackChenzp
2018/10/19
20
0
APP渗透测试 对文件上传功能的安全检测与webshell分析

前段时间我们收到客户的渗透测试服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的渗透测试,包括漏洞的检测与测试,逻辑漏洞.垂直水平越权漏洞,文件上传漏洞.等等服务...

网站安全
2019/11/07
0
0
移动端APP漏洞渗透测试安全检测实施方案

许多客户在网站,以及APP上线的同时,都会提前的对网站进行全面的渗透测试以及安全检测,提前检测出存在的网站漏洞,以免后期网站发展过程中出现重大的经济损失,前段时间有客户找到我们做渗...

网站安全
2019/10/17
0
0
只有端到端的移动IT方案 才能让数据管理尽在掌控之中

智能终端的出现,从交通、购物、支付、办公等各个角度改变了我们工作和生活的习惯。金融机构亦是如此,利用移动终端的便捷简化信贷、账户管理等工作,已经被众多金融机构提上日程,同时,运用...

玄学酱
2018/05/22
0
0
什么是网站系统安全的渗透检测?

建设网站系统需要做的工作很多,比如架构,模板的确认,还有各个安全问题的考虑,比如漏洞,木马等问题的渗透测试。而对于渗透这个词很多人都没怎么接触过。相信最近追热播亲爱的,热爱的这部...

墨者安全
2019/07/22
0
0

没有更多内容

加载失败,请刷新页面

加载更多

易鑫车贷人工客服电话是多少

易鑫车贷人工客服电话是多少O29-63O37558人工客服电话O29-688O2826方法,大家可以采取一些传统的方式,比如说打开易鑫车贷,然后设置,就会看到帮助与反馈的字眼,然后大家打开这到各种各样的问题...

fgrf
今天
41
0
IntelliJ 如何找到项目中 Deprecated 的方法

在一个项目中,如果我们标记了某些元素为 Deprecated 的话,如何让我们能够快速找到? 简单来说,你可以对项目进行 Code Inspection。 选择 Analyze > Inspect Code 在弹出的对话框中,对整个...

honeymoose
今天
93
0
Java中的排序算法:冒泡排序

学习了一种新的排序算法:冒泡排序,冒泡排序是一种交换排序,指比较相邻的两个元素,如果前者比后者大,就交换位置,继续进行比较。 通过例子来实现: import java.util.Arrays; public cl...

北芷南姜
今天
73
0
OSChina 周五乱弹 —— 你不仅要背负工作,还要背负领导

Osc乱弹歌单(2020)请戳(这里) 【今日歌曲】 @薛定谔的兄弟 :分享洛神有语创建的歌单「我喜欢的音乐」: 《Cold Rain》- AniFace 手机党少年们想听歌,请使劲儿戳(这里) @明月依稀 :露...

小小编辑
今天
569
4
个人环境之ubuntu的apt-get 总结

前言 apt-get是必须要学会的,如果搞定apt-get,可解决很多问题。接下来鸟才啊总结以往经验。 场景一 指定安装版本 先查看有软件有那些版本可以安装 apt-cache madison gcc-4.8 gcc-4.8 ...

鸟菜啊
今天
67
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部