上期回顧:git
上篇分享三個常見的漏洞,分別是弱加密漏洞,訪問控制不嚴漏洞,本地拒絕服務漏洞,主要問題是開發者對安全重視程度不夠致使的,本篇繼續分享一個更常見的漏洞,信息泄露漏洞,這個漏洞在2019年CNVD收錄的移動端漏洞排名中排名第一,佔移動端漏洞總數的19.33%,可見該漏洞是開發者容易忽視的,簡單的形成越權攻擊,嚴重的形成用戶信息泄露。
github
信息泄露,更可能是個廣義的定義,最直接的解釋用戶的我的信息被攻擊者所知,目前隨着移動互聯網高速發展,中國互聯網絡信息中心(CNNIC)在京發佈第46次《中國互聯網絡發展情況統計報告》,截至2020年6月,我國網民規模達9.40億,至關於全球網民的1/5;互聯網普及率達67%,數量很是龐大,用戶我的信息都會各類APP收集,可是遺憾的是,APP開發者並無很是重視安全問題,致使APP存在信息泄露漏洞,泄露用戶的手機號碼,姓名,身份證號,銀行卡號,汽車牌照號等等敏感的我的信息,甚至攻擊者用收集到的信息用於黑灰產(廣告推銷,殺豬盤,網貸等),好消息是從國家層面愈來愈重視網絡安全,企業也愈來愈重視。安全
1微信
典型的信息泄露風險點網絡
風險1: 應用的Manifest文件中allowBackup屬性值設置爲true,可經過adb backup對應用數據進行備份,在無root的狀況下能夠導出應用中存儲的全部數據。app
> adb backup -f D:/back.ab -noapk 應用包名 便可備份工具
修復建議:將應用Manifest文件中allowBackup屬性值設置爲false測試
風險2:應用客戶端與服務端交互過程當中未作校驗,致使信息泄露,好比:攻擊者截獲客戶端服務端交互的數據包,任意修改用戶ID,遍歷其餘用戶的數據信息,致使用戶的信息泄露。ui
修復建議:服務端增強身份驗證機制,數據傳輸通道加密。加密
風險3:應用註冊時,驗證碼明文返回至客戶端,致使任意手機號碼登陸的風險。
修復建議:禁止驗證碼明文返回本地。
風險4:應用將源代碼上傳至github,致使源代碼泄露。
修復建議:禁止將源代碼上傳到第三方託管平臺。
風險5:驗證碼的請求次數和時間未作限制,致使攻擊者能夠暴力破解,最終致使信息泄露。
修復建議:對驗證碼的請求次數和時間進行限制,服務端增強身份驗證機制。
風險6:應用未作自定義軟件鍵盤,致使應用在鍵盤輸入時,信息被監聽。
修復建議:核心業務輸入使用自定義軟鍵盤,禁止用系統鍵盤。
2
典型案例解析
案例1:某APP容許攻擊者利用代理工具篡改數據包獲取用戶敏感信息。
(1)啓動APP,進行註冊登陸,進入我的資料界面;
(2)攔截請求「我的資料」的數據包;
(3)咱們發現請求數據中使用sign字段是用來做爲認證的,而且APP還會在後臺打印相應的調試日誌。
(4)研究發現,根據日誌裏的內容計算SHA1,就得出生成sign的值。
(5)根據上述原理,修改相應的uid生成相應的sign。
(6)將數據修改後,進行數據包重放,便可獲得其餘用戶的我的資料。
案例2:某APP驗證驗證碼返回值客戶端,利用驗證登陸任意帳號。
(1)啓動APP,在APP的註冊界面,輸入測試手機號進行註冊操做。
(2)點擊發送驗證碼,使用抓包工具攔截對應的數據包。
(3)對比發送到手機的短信驗證碼,發現與數據包中返回值相同。
(4)再次點擊發送驗證碼,從數據包中可知短信驗證碼是316911。
(5)輸入任意手機號碼,輸入驗證碼316911。
點擊註冊按鈕,發現註冊成功,此時返回值返回的數字就是短信驗證碼,能夠經過返回值的驗證碼,使用任意手機號進行登錄,而後修改其密碼等操做。
案例3:某出行APP,經過工具暴力破解驗證碼等手段,任意登陸。
(1)啓動APP嘗試註冊操做,輸入手機號,點擊獲取驗證碼,而後使用工具抓取數據請求。
(2)點擊註冊,APP會向手機發送一個短信驗證碼,此時,對發送的短信驗證碼使用fiddler工具進行抓包攔截。
(3)輸入錯誤短信驗證碼0000,點擊完成會提示驗證碼不正確或已失效,繼續抓包。
數據包顯示:
(4)經過burp工具對短信驗證進行爆破,當爆破成功時會返回一個正確的值:
(5) 客戶端從新進行驗證碼的請求,使用fiddler工具中斷數據包,把上面爆破成功的值輸入進去,數據返回值提示成功,說明咱們爆破成功。
在手機客戶端界面會顯示登陸成功。
經過以上案例,不論是那種方式,都是因爲服務端沒有對客戶端作校驗致使的,讓攻擊者鑽了空子,若是服務端增強客戶端的身份驗證機制,對數據傳輸通道進行了有效的加密,這種風險也就不存在了。
好了,本篇文章就分享到此,感謝你們關注,下一期再見。
本文分享自微信公衆號 - App安全紅寶書(apphongbaoshu)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。