51Testing软件测试论坛

标题: 开发者和企业都慌了:上架app必须进行安全测试 [打印本页]

作者: 恭喜发财dife    时间: 2018-4-27 17:01
标题: 开发者和企业都慌了:上架app必须进行安全测试
8月份针对移动互联网安全,国家出台并开始实施的《移动互联网应用程序信息服务管理规定》明确规定,AP
P提供者和APP商店,不得利用APP危害国家安全、扰乱社会秩序、侵犯他人合法权益。新规实施以来,各地陆
续开始对各个渠道上架的app进行审查,上架前必须进行渗透测试,严抓移动应用漏洞。

从维护用户合法权益的角度看,这个《规定》是一道安全门。从APP企业来说,“如何强化信息安全管理、保障
用户权益?”,成为IT企业应该马上重视的问题。

APP的安全隐患来源有很多:使用不安全的协议,SDK有缺陷、程序员的逻辑缺陷、代码本身漏洞问题等等。
在2015年,四千多款iOS应用感染Xcodeghost病毒事件,波及面非常广、影响极为恶劣。同时期,因为游戏开
发工具Unity和cocos2dx的安卓版本也被类似病毒感染,安卓应用也纷纷被入侵、感染。

手机APP背后存在哪些安全隐患?

针对这一问题,北京鼎源科技有限公司与北京理工大学合作组建的必安全实验室安全专家表示:“目前主流的AP
P系统主要是iOS和安卓。虽然一直声称iOS这套操作系统非常严密、非常安全,但是APP漏洞方面还是未能幸免。
目前,iOS平台上的大部分移动银行APP,都没有实施基本的安全保护,漏洞随时可能成为隐患。APP STORE本
身就存在安全漏洞隐患,2015年就发现其发票系统存在重大安全漏洞,可以通过漏洞发出指令操控发票金额等,
后面发现,这个严重的注入缺陷是应用程序端输入验证的web漏洞。相较于iOS,Android原生态下的安全漏洞现
状更是不容乐观,近97%的APP都存在漏洞问题,每个APP上的漏洞竟高达40个。”

“根据大数据积累显示,教育、金融、游戏、购物、健康类的APP存在的漏洞数量最多,其中高风险漏洞占比也
最大。常见漏洞为:SQL注入漏洞、Webview、DDoS、文件模式配置错误、不校验证书等等。企业完全可以通
过必安全实验室移动APP安全渗透测试来规避这些风险。”

如何通过渗透测试强化信息安全管理?

渗透测试是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全作深入的探测,发现系统最
脆弱的环节。渗透测试能够最直观的让管理人员知道自己网络所面临的问题,是一种非常专业的安全服务。必
安全实验室APP渗透测试适用于Android、iOS、手机、平板电脑等运行的移动APP程序,通过使用静态、动态、
服务端测试等各类技术手段对移动APP程序进行漏洞挖掘。知道必安全实验室App安全渗透测试领先业内APP安
全测试标准,已为近百个APP提供安全渗透测试服务。通过安全测试,已发现存在的计费、业务逻辑、客户信
息泄漏等漏洞,避免用户的现金和信誉损失。

作为一项高端安全服务,必安全实验室渗透测试服务利用一切技术、社交和大数据黑客手段,进行最高强度安
全测试。必安全实验室拥有业内专业的业务逻辑漏洞挖掘团队,真正避免商业黑客的威胁。








欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2