業務安全邏輯問題

業務安全邏輯問題

年前說得是會更新兩篇文章，一篇是《瀏覽器exp使用經驗》，另外一篇是《android app安全問題》。第一篇是有更新，第二篇一直也沒有更新，在對android app自己安全性有了全面的瞭解後，以爲彷佛沒有什麼必要來講這個？由於把網絡通訊這塊兒刨開不看，app自己安全問題都比較雞肋，利用前提是須要經過本地觸發，也就是攻擊者須要先在受害者手機上安裝一個惡意的app，而後再經過這個惡意app去觸發其餘app的漏洞，可能只有像本地明文存儲用戶名密碼這種漏洞纔會對通常app廠商產生點存在感吧，其餘狀況，你們懂的。

大多數的問題仍是在網絡通訊這一塊，和web安全同樣，也會存在sql注入、xss、文件上傳這種漏洞。固然webview組件的問題，也的確是能夠遠程觸發的，其修復很是簡單，更改一下api level就行了。

因此我的以爲，除非是很是很是很是負責的app廠商，app自己所產生的安全問題，存在感都很低。加殼也是，除了工具類app，我的以爲也沒啥必要，這點歡迎你們來討論。

最近半年參與公司對內對外的滲透項目比較多，從基本漏洞發現利用到內網滲透，整個流程也比較熟悉了。這一過程總髮現有一類漏洞是比較特別的，那就是：邏輯漏洞。這類漏洞比較隱蔽，掃描器是發現不了的，須要手動仔細分析程序功能。而形成的危害通常也都比較大，直接影響公司業務，好比：越權形成用戶財產損失、變動交易金額形成公司直接經濟損失等。

最近本身也在整理這一類問題，這裏先給個框架，在理解更多的實例以後，再把腦圖放出來。

by：會飛的貓

轉載請註明:http://www.cnblogs.com/flycat-2016