如何開展手機的滲透測試？

歡迎訪問網易雲社區，瞭解更多網易技術產品運營經驗。

手機的滲透測試能夠分爲3點：

1. 同Web安全滲透測試相似，須要對Server API和終端應用進行安全測試；
2. OS自己的特性或安全問題；
3. 應用被逆向破解，業務邏輯和信息被盜取；

第一塊的問題也很多，不少作移動開發的工程師並不必定有Web安全的經驗。

不少App都存在各類邏輯漏洞，好比App的流程依賴於響應內容且沒有作校驗。這一類的問題能夠經過代理工具進行測試；

一樣，不少應用對應的服務器也會有一些安全風險點，內部服務開放也能夠是滲透的點；

第二塊會有一些通用的漏洞，好比android老版本的webview代碼執行，調試模式的一些安全問題；也會有一些開發習慣的問題，好比SSL證書配置的問題，SQL本地注入和日誌信息泄露的問題等。

綜合來說，第二塊涉及的問題和手機系統自己有很大關聯，滲透測試過程當中須要不斷的積累知識庫；

第三塊實際上是很是重要的，不少時候咱們的一些重要業務邏輯會在應用中，若是被黑客或者競爭對手逆向破解，極可能致使商祕泄露或者破解版本的盛行等，致使業務發展受阻。

前兩點經過本身滲透測試或者尋者滲透測試服務可以解決絕大部分風險；

最後一點比較複雜，本身實施的話建議業務注意先後端邏輯和關鍵業務邏輯充分分離，不過一般甲方安全工程師很難保證（業務邏輯性和人力審覈成本），簡單高效的方式就是購買加固服務。

利益相關：網易雲易盾提供業內獨特的App滲透測試服務（可免費試用），以攻擊者的視角，模擬黑客攻擊過程，對App（Android、iOS）客戶端以及服務端進行深刻探測，找出應用系統中存在的缺陷和漏洞，及早發現，及早預防。

整個測試過程分爲四步：

一、方案設計：肯定滲透測試的時間、方法、測試範圍、應急預案等，對整個過程進行監控；

二、信息收集：收集網絡拓撲結構，對目標系統進行分析，掃描探測，服務查點，查找系統IP等；

三、掃描滲透：綜合收集的情報，藉助工具找到目標系統漏洞，進行滲透入侵，從而得到管理權限；

四、檢測報告：測試人員根據測試結果，輸出滲透測試服務報告。內容包括安全情況、修復建議等。

此外網易雲還提供相關應用加固服務，如Android 應用加固、iOS 應用加固等，能夠點擊免費試用。

文章來源： 網易雲社區