安全小课堂第二十七期
借助相关工具进行针对性的测试,就是app手工安全检测。隐患、风险点距离实际的漏洞利用还有一定距离, 即使是用借助语法分析的引擎去做自动化审计,也是需要手工确认, 这是无法替代的。由此可见app手工安全检测的重要性。本期我们来聊一聊app手工安全检测。
本期邀请到
盘古安全专家小G
盘古安全专家zhao
猪八戒网安全专家H3arts
大家欢迎~
豌豆妹
什么是app手工安全检测?
小新
在我看来,借助相关工具进行针对性的测试,就是app手工安全测试。具体场景包括安全问题分析、恶意行为安全检测等。
柴可夫斯基
因为应用安全的检测可以做到反编译源代码级别,所以手工安全检测的时候,可以去阅读反编译的代码,以便针对一些场景和问题进行检测。
豌豆妹
app手工安全检测的必要性有哪些呢?
柴可夫斯基
安卓应用通过静态分析经常会扫描到问题,但准确性比较有限,自动化分析工具只能起到辅助作用,所以要借助手工安全检测去查看源代码上下文才好确定安全问题。有很多第三方平台都提供自动化的审计,但真正要确定这些漏洞或者风险的话,还得手工分析。安全 脉搏整理编辑发布,SecPulse安全 脉搏,分享技术 悦享品质。
柴可夫斯基
是的,自动化审计一般是提供的隐患、风险点等,无法做类似web的漏洞自动化验证。隐患、风险点距离实际的漏洞利用还有一定距离, 即使是用借助语法分析的引擎去做自动化审计,也是需要手工确认, 这是无法替代的。
豌豆妹
能介绍下app手工安全检测的思路么?
柴可夫斯基
ios的话无法做到反编译,因此一般会借助反汇编的工具,比如IDA,越狱后的环境的话,会借助idb、classdump等辅助工具,方便利用应用的逻辑进行分析。
android更多的是先进行反编译,apktool、dex2jar和jd-gui的组合。一般来说,ios下还会借助动态分析,然后用静态分析的方式去过一下那些问题点。
动态分析会做系统行为hook,对加解密、http请求、文件系统访问、ios剪切板、日志记录、keychain访问进行分析 。安全 脉搏整理编辑发布,SecPulse安全 脉搏,分享技术 悦享品质。
此外还有UIWebView的监控,因为ios里面也会用到内嵌网页的开发。安全 脉搏整理编辑发布,SecPulse安全 脉搏,分享技术 悦享品质。
小新
在android apk安全检测的时候我一般是这个思路:先看一下是不是加壳的,如果是的话会对apk进行脱壳,然后通过反汇编、反编译工具得到汇编代码或反编译代码,
然后根据特征定位代码位置,然后结合上下文分析,有时候可能要动态调试。在android apk里面有很多小技巧,antianalysis的技术要积累一些的。
豌豆妹
apk扫描开源框架哪个效果比较好一些?
柴可夫斯基
apk扫描开源框架,我看目前大家用的比较多的还是:https://github.com/mwrlabs/drozer。
豌豆妹
选一个合适的工具很重要,能推荐app手工安全检测小工具吗?
哆啦A梦
安利一下盘古的janus。脱壳的话可以试试dexhunter。
小新
目前能了解到的,国内做出来的就腾讯的金刚他们做了一个ios应用的安全检测系统,不过好像没有看到对外使用的地方,目前应该还是对内保障为主吧。
推荐drozer、ida、jeb。drozer是开源的,还可以自定义脚本,感觉不错。
哆啦A梦
android平台的话我也介绍几家。有360的显危镜,阿里的聚安全,还有梆梆安全、爱加密的,他们几家做的安全检测引擎功能差不多。
豌豆妹
好哒~谢谢小伙伴们的热情推荐!本期话题告一段落噢~咱们下期见。
安全小课堂往期回顾:
1、论安全响应中心的初衷;
2、安全应急响应中心之威胁情报探索;
3、论安全漏洞响应机制扩展;
4、企业级未授权访问漏洞防御实践;
5、浅谈企业SQL注入漏洞的危害与防御;
6、信息泄露之配置不当;
7、XSS之攻击与防御;
8、电商和O2O行业诈骗那些事儿(上);
9、电商和O2O行业诈骗那些事儿(下);
10、CSRF的攻击与防御;
11、账户体系安全管理探讨;
12、远程代码执行漏洞的探讨;
13、服务器安全管控的探讨;
14、畅谈端口安全配置;
15、谈一谈github泄露;
16、撞库攻击是场持久战;
17、url重定向攻击的探讨;
18、聊聊弱口令的危害(一);
19、聊聊弱口令的危害(二);
20、聊聊XML注入攻击;
21、聊聊暴力破解;
22、谈谈上传漏洞;
23、浅谈内网渗透;
24、聊聊短信验证码安全;
25、深聊waf那些事儿(一);
26、深聊waf那些事儿(二)。
27、聊聊app手工安全检测。
【聊聊app手工安全检测–安全小课堂第二十七期 作者:京东安全应急响应中心 SecPulse脉搏整理发布】
本文作者:京东SRC
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/51972.html