《2024Android客户端安全测试报告模板.docx》由会员分享,可在线阅读,更多相关《2024Android客户端安全测试报告模板.docx(31页珍藏版)》请在课桌文档上搜索。
1、XXAPP(android)安全测试报告文档一号密级版本号1.0日期2024版本变更记录时间版本说明修改人目录目录一. 测试环境2二. 测试结果汇总错误!未定义书签.三. 详细测试报告83.1 客户端静态安全8111反编译保护8Il1安装包签名9111应用完整性校验10114组件导出安全113.2 客户端数据安全11121木地文件权限配置1112J本地文件内容安全12171木地日志内容安全133.3 客户端运行时安全14I 1输入记录保护14II 1屏弃录像保护15III 1进程注入保护16IV 1AetMty劫持保护173.4 安全策略设置18IAI密码更杂度策略1814J认证失败锁定策略1
2、9141单点登录限制策略20XAA会话超时策略21144Ul敏感信息安全223.5 通信安全221 q1加密协议有效性223.6 服务器端安全26IKlSQ1.注入26四. 感谢26摘要经XX公司授权,渗透测试小组于XXXX年XX月XXEI-XXXX年XX月XX日,对XXAPPAndroid客户端进行了渗透测试工作,渗透测试结果如下。认为被测网站当前安全状态是:远程不安全系统/远程Tft安全系统/远程安全系统/安全等级褥定参考附录A,编写报告时请将注释删除.测试对象相关地址安全评价APPAndroid客户蟠IP/域名远程不安全系统远程一般安全系统远程安全系统测试结果如下:严重问题:1个二 .中
3、网:2个三 .轻度问题:1个四 .风险提示:1个图1.1安全问题分布图/*安全问题分布图采用堆积柱形图,注意修i色填充,图例在右侧,编写报告时请将注IMM详细安全问题汇总如下:表1.1发现问题汇总测试项测试内容结果威胁等级客户端岸态安全反编译保护不安全中危安装包签名不安全中危应用完整性校验安全-组件导出安全安全-客户端数据安全本地文件权限配置不安全中危本地文件内容安全不安全高危本地日志内容安全不安全高危客户端运行时安全输入记录保护不安全中危屏幕录像保护不安全中危进程注入保护不安全高危Activity劫持保护不安全中危安全策略设置密码复杂度策略安全-认证失败锁定策略安全-单点登录限制策略安全-会
4、话超时策略不安全低危Ul敏感佶息安全安全-通信安全加密协议有效性不安全高危服务器端安全SQ1.注入不安全高危二.服务概述本次渗透测试工作是由的渗透测试小组独立完成的。渗透测试小组在XXXX年XX月XX日-XXXX年XX月XX日对XX系统进行了渗透测试工作。在此期间,渗透测试小组利用部分前沿的攻击技术,使用成熟的黑客攻击手段,集合软件测试技术(标准)对指定网络、系统做入侵攻击测试,希望由此发现网站、应用系统中存在的安全漏洞和风险点。2.1 测试流程1 .信息收集:此阶段中,测试人员进行必要的信息收集,如IP地址、DNS记录、软件版本信息、IP段、GoogIe中的公开信息等。2 .渗透测试:此阶段
5、中,测试人员根据第一阶段获得的信息对网络、系统进行渗透测试。此阶段如果成功的话,可能获得普通权限。3 .缺陷利用:此阶段中,测试人员尝试由普通权限提升为管理员权限,获得对系统的完全控制权。在时间许可的情况下,必要时从第阶段道新进行。4 .成果收集:此阶段中,测试人员对前期收集的各类弱点、漏洞等问题进行分类整理,集中展示。5 .威胁分析:此阶段中,测试人员对发现的上述问题进行威胁分类和分析其影响。6 .输出报告:此阶段中,测试人员根据测试和分析的结果编写直观的渗透测试服务报告。2.2 风险管理及规避为保障客户系统在渗透测试过程中稳定、安全的运转,我们将提供以下多种方式来进行风险规避。对象的选择为
6、更大程度的避免风险的产生,渗透测试还可选择对备份系统进行测试。因为备份系统与在线系统所安装的应用和承载的数据差异较小,而其稔定性要求又比在线系统低,因此,选择对备份系统进行测试也是规避风险的一种常见方式。时间的控制从时间安排上,测试人员将将尽量避免在数据高峰时进行测试,以此来减小测试工作对被测试系统带来的压力。另外,测试人员在每次测试前也将通过电话、邮件等方式告知相关人员,以防止测试过程中出现意外情况。的渗透测试人员都具有丰富的经验和技能,在每步测试前都会预估可能带来的后果,对了可能产生影响的测试(如:溢出攻击)将被记录并跳过,并在随后与客户协商决定是否进行测试及测试方法。监控措施针对每系统进
7、行测试前,测试人员都会告知被测试系统管理员,并且在测试过程中会随时关注目标系统的负荷等信息,一旦出现任何异常,将会停止测试。工具使用在使用工具测试的过程中,测试人员会通过设置线程、插件数量等参数来减少其对系统的压力,同时还会去除任何可能对目标系统带来危害的插件,如:远程溢出攻击类插件、拒绝股务攻击类插件等等。2.3 参考依据为了保证此次渗透测试的先进性、完备性、规范性,渗透工程师将参考下列国内、国际与渗透测试有关的标准进行工作。国内可参考的标准、指南或规范 ISO/IEC27001:2005信息技术安全技术信息系统规范与使用指南 ISO/IEC13335-1:24信息技术-安全技术信息技术安全
8、管理指南 ISO/IECTR15443-1:25信息技术安全保障框架 ISO/IECPDTR19791:2004信息技术安全技术运行系统安全评估 GB/T20984-2007信息安全技术信息安全风险评估规范 GB/T19715.1-2005信息技术-信息技术安全管理指南 GB/T19716-25信息技术-信息安全管理实用规则 GB/T18336-21信息技术-安全技术-信息技术安全性评估准则 GB/T17859-1999计算机信息系统安全保护等级划分准则 GB/T20984-2007信息安全技术信息安全风险评估规范 GB/T20988-2007信息系统灾难恢复规范 GB/Z20986-2007
9、信息安全事件分类分级指南 渗透测试最佳实践 安全服务工作规范、渗透测试实施规范 信息系统审计标准(ISACA)G3利用计算机辅助审计技术 信息系统审计标准(ISACA)G7应有的职业谨慎 信息系统审计标准(ISACA)G9不正当行为的审计考虑 信息系统审计标准(ISACA)G18信息系统管理 信息系统审计标准(ISACA)G19不正当及非法行为 信息系统审计标准(SACA)G33对网络使用的总体考虑 CESG(CHECK)ITHealthCheck方法 OWASP0WASP_Testing_Guide_v3 OWASPOWASP_Development_Guide_2W5 OWASPOWASP
10、_Top_10_2010_Chinese_V1.0 OWASPOWASP_lbp_10_2013-Chinese-V1.2 OWASPOWASP_Top_10_2017_RCl_V1.0 OSSTMMOSSTMM_Web_App_Alpha Web应用安全委员会(WASOWASCThreatClassificationv22.4预期收益通过实施渗透测试服务,可对贵方的网站系统起到如下推进作用:明确安全除盛渗透测试是一个从空间到面再到点的过程,测试人员模拟黑客的入侵,从外部整体切入最终落至某个威胁点并加以利用,最终对整个网络产生威胁,以此明确整体系统中的安全隐患点。提高安全意识如上所述,任何的隐
11、患在渗透测试服务中都可能造成“千里之堤溃于蚁穴”的效果,因此渗透测试服务可有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险。提高安全技能在测试人员与用户的交互过程中,可提升用户的技能。另外,通过专业的渗透测试报告,也能为用户提供当前流行安全问题的参考。三.测试服务说明3.1 测试对象与环境本次渗透测试按着事先约定的测试范围展开测试工作,测试对象如下所示:表3.1测试对象测试项潴试结果Package名称版本信息APK文件大小APK-Md5值(在线查询:http:/WWW.atool.org/file_hash.php)表3.2测试帐号测试账号账号密码Ukey高权限system*无低权限te
12、st*今无/若无冽试屐号将该表删除,编写报告时请将注狎IN除.测试过程中,测试小组使用过多个IP地址开展的分析工作,地址如下:表3.3测试IPIP地址IP地址IP地址IP地址111.111.111.111/*填写测试工程师电脑的IP地址,编写报告时请将注IHW除.在此通知相关人员在对受测试的目标站点服务器、相应的网络入侵检测系统进行安全监控和日志分析时,排除以上IP地址产生的任何违规信息,以保证分析结果的准确有效。3.2 测试时间与人员本次渗透测试按着事先约定的测试时间开展,如下所示:表34测试时间测试工作时间段起始时间XXXX年XX月XX日结束时间XXXX年XX月XX日本次测试小组参与渗透测
13、试人员,如下所示:表3.5测试人员参测人员名单姓名张三所属部门XX服务交付部联系方式zhangsan二.测试环境硬件:EmUlatOr虚拟机(NeXUSS)客户端版本:Android4.4.2三.详细测试报告3.1客户端静态安全,1反编译保护问题描述成功的反编译将使得攻击者能够完整地分析APP的运行逻辑,尤其是相关业务接口协议、和通信加密的实现。测试步骤使用反编译工具对客户端进行反编译,并使用JaVaDempiler打开jar包:Sandroid.%UPPOft0fficomn(Japsa田rti,mpdfS900ge-g0n2田handmark.PuIItorefrttKIibrary;ke
14、naijboshrwtdndroidtactivitySj8eAib%2016-07-2602:04qwx)rxduMapSDK_v3_4_0_15.so11727961969123123:59rwxrxSDKS,so305601969-12-3123:59-.-.SDK6a.so428441969123123:59rwxrJrxde2Hnull4Iname=myIDalue=2728strinnarae=myPas1234563tringJ61.7测试结果不安全。发现了明文存储的敏感信息。安全建议尽量避免在文件、数据库等位置写入敏感信.息。如果确实需要存储,应当进行加密。222本地日志内容安
15、全问题描述视具体的泄露信息而定,敏感信息泄露可能会方便恶意程序窃取凭据,或者泄露一些原本不希望被用户看到的内容。测试步骤使用IogCat命令查看APP输出的日志,如下:测试结果不安全。在日志中可见网络传输报文的内容,内含等价明文的敏感信息安全建议开发过程中应尽量避免在H志中输出敏感信息,上线前应及时去除不必要的日志输出。3.3 客户端运行时安全331输入记录保护问题描述和PC端常见的木马类似,恶意程序可以对用户输入的敏感信息(主要是密码)进行窃听。测试步骤通过在native层读取devinputevent设备,截取到了密码输入内容:测试结果不安全。安全建议尽量使用系统自定义的随机软键盘(而非系
16、统输入法)来输入敏感信息。或者对NatiVe层输入记录功能进行HOOk(需要root权限)。屏幕录像保护问题描述和输入记录类似,恶意程序可以对用户输入的敏感信息(主要是密码)进行窃听。测试步点进入登录页面,在输入密码的同时,进行连续截图,即可记录用户输入的密码:测试结果不安全。客户端程序没有防护截群操作。安全建议在檄感信息的输入过程尽量避免视觉反馈,或者在操作系统层面对截屏相关功能进行HOOk以阻止敏感信息输入期间其它程序的截屏操作(需要root权限)。131进程注入保护问题描述如果Android客户端没有对进程进行有效的保护,攻击者就可以向从Native层面向客户端进程远程加载任意.so链接
17、库,从而侵入客户端进程的进程空间,以搜索、篡改敏感内存或干涉客户端的执行过程。测试步骤尝试通过pTrace将一个会输出IOgCat的.so库注入口标进程中,相关的两个进程均成功:4mfll3cScA.*ndroi4.NM4mn9400113c8cM.MidroU.Mail4CMH13cSc*.*ndroi4.qiicharcNbcM3dSM4fNNM284tZsy*tnbiaZ*lMMMIHi51MKccacccacec3333333三三itte7466.-1IB.,.239945322S3224.018?;22lm93S4525433546226O8ttH71鲁肾K”s3132Xffffff
18、frrrrrrrfffffffffffftftrrtffftfffffffffffffffrrrrrrrr4M113ctcA.Mdro14.UimkBmf400113c8cA.*ndroi4.brovr44M9113cSca.Mtdro14.dFcntaImpcM1.ndaaoitl.phoMc*.*ndroi4.flttInytMdeIdkcBccA.ndro14.d*kclckcmi.Mtdro14.eAletitfarc*.AtctcA.*ndroi4.roviUr*.H如l*cd00OKO).r三*t(4000tt00)S400lc45QyQ=rtww4CrA-%rw*v*i4M410
19、0O.Clcd(0001000).rMt(bOXHOOOl*ed(00010).r三MU(OOO100O)IMd(MOOlOOO).rS(00010)BrmMooUT411oto.411t*otnrl008.084。小4M444)C1(T)(yTrlaj4l)W44ftMIFTM)G8WtUmut41144oMU00,4U*UTrMlajMt)l*j4t4”S1bMntf.Tndowv峪64M407MMEgoMUwW0G2162493623223413S837938M3475(106596756”m*341544121S37G4U242137124lMM4M113c8com.Mdri4.att
20、in9t4iMll)cBSn4roid.prc*.cr4Mlll3ce$c*.a*droitl.cclclc4M113c0Scom.adro4.calaid4krIMll3cB8c.M4ri4.cfttacts4H0113cB(c.Adri4.pwvidr.ocHTM3MCeeMHee4MM284S/bi*Y774771/3411tMMKMMWH4W194SRKb41(TW):(TreXael).iZ*.f*fWSHC4P4lTrUjt)IUQU44*M4ODdlc(T22)(*TrMlajvUwMRl0C0.XR220ICOO1.rM(000lC00)x*uwoocoo,i.0ogcoooc
21、).rMt%oooeoo2WoWQbK09,Qclk029rt皿,.40MB40M44*U4U9c测试结果不安全。攻击者将恶意代码的SO文件注入到客户端进程中,就有可能实现任意控制程序执行。安全建议在Native环境中防护ptrace并检杳当前进程中的可执行模块。也可利用些外部产品,使得客户端在虚拟机中运行。431Activity劫持保护问题描述检查客户端是否存在Activity劫持风险。成功的Activity劫持将会替换客户端的启动界面,对用户产生很大的诱骗作用。测试步骤安装绿盟activity劫持测试工具,在劫持目标中填写客户端进程名,点Ok后工具自动隐藏。启动客户端。发现客户端程序的主界
22、面被成功替换:测试结果不安全。客户端没有对AetiVity劫持进行防护。安全建议Activity劫持通常依靠注册Receiver响应android.intent.action.BOOT_COMP1.ETED事件。客户端程序可以在启动前检行Receiver并报警:由于ACtiVity界面劫持攻击通常是将白己的页面附着在客户端之上,因此需耍进行界面切换操作,因此在界面切换到后台时弹出警告信息也可以达到一定的效果。除此之外,因为AndrOid进程栈的工作原理,建议开发客户端时针对进程栈进行相应的保护,可禁止其他进程放置于客户端之上。3.4 安全策略设置34密码复杂度策略问题描述如果系统缺少密码熨杂度
23、策略,攻击者将有机会通过暴力猜测、撞库等方式获取一些安全意识淡薄的合法用户的认证凭据。测试步骤人工测试,尝试将密码修改为弱口令,如:123456.654321.121212,888888等,查看客户端是否拒绝弱口令。测试结果安全。客户端存在密码熨杂度策略。安全建议在注册账号、修改密码等需要设置密码的过程中,检测用户的密码强度,并在用户尝试设置弱口令时予以提示或阻止。342认证失败锁定策略问题描述如果系统不存在认证失败锁定策略,攻击者将有机会对认证凭据进行暴力猜测。测试步骤测试客户端是否会限制密码输入错误次数,是否会进行锁定。5:28用户登录提示金录名码输入错误超过理定次数,清明日再试确定测试结
24、果安全。在登录失败5次后,账号被锁定。安全建议以IP地址或用户账号为单位,如果用户连续进行若干次错误的认证尝试,则禁止其后续认证操作。342单点登录限制策略问题描述如果系统允许同一个用户同时在多个会话中登录,那么用户就很难察觉到白身的账号已经被盗。测试步凄测试同一个帐号是否可以同时在多个设备上登录客户端,进行操作。测试结果安全。先登录的用户会话被终止。安全建议在数据库或服务器缓存中记录每个用户当前登录的SessionID,不允许同一个用户同时在多个SeSSiOn中登录。a44会话超时策略问题描述对于认证会话不会超时的APP,如果用户在使用过程中将设备放置一旁并遗忘,攻击者将有可能通过物理接触的
25、方式以用户身份进行操作。测试步骤测试客户端在一定时间内无操作后,是否能提示超时并要求重新登录。测试结果不安全。睁置超过10分钟,客户端依然能够进行操作。安全建议长时间不操作时,应当终止会话。345Ul敏感信息安全问题描述视具体的泄露信息而定,敏感信息泄露可能会方便恶意程序窃取凭据,或者泄露一些原本不希望被用户看到的内容。测试步骤人工观察客户端的各个功能界面,检杳是否存在敏感信息泄露问题。测试结果安全。没有发现敏感信息。安全建议敏感信息在界面上显示时,应当进行模糊化处理。3.5通信安全aS1加密协议有效性问题描述如果客户端与服务器之间的通信加密协议实现不当,攻击者将有机会对当前网络环境中其他合法
26、用户的通信内容进行窃听甚至篡改。测试步骤检测客户端与服务器的通信过程能否抵抗被动嗅探攻击、中间人攻击、审放攻击等常见形式的通信攻击。在手机终端设置HTTP代理,指向电脑上的fiddlerKSIAo准备完成后打开手机客户端,在fiddler上替换服务器发送给客户端的证书,对客户端和服务器的通信进行SS1.中间人攻击,成功捕获到客户端和服务器间的通信,但通信字段明显经过分组对称加密算法处理:MyAppfcMO-!ffwlEvnUeowAlWda.fwnfUU.MaOMkitiv:M*A匕5h3*Uua.b*dSbkift9i:.se*C4;taMUM.btm11UkMHwdersTextviewS
27、yMwrtWwWebFonmHexVWwAwtbCootoesRmJSCNMContent-Typ:application;x-w*u-form-uriencoded;charsetVTF-su$er-Aent:0alvlkl.0(1.inux;u;Andrdd4.0.4;sdkuild)Host:10.1.:t200Connection:Keep-AHveAccept-Encoding:zlpContent-1.enflXh:124tappE11CrypWataa4427ae3492SlS840C4aS4acd7d410e9e9G039BC99aCbCC2Slle3f0Cf93b73bS52
28、aebSC3S671d092887G42d6S5e5b9c3ad4Wbe4C9ffdcdeef42Mi0284ppncryprriag5Mo7bbW8e335ese732efafi2Rnd.(preW三nrtohtl)vwNotedTfaneferwHeadersTexWewSyntax/ewImaQeViewHexVwWebVwAu5CacngCootoesRawJSONXM1.HTTF/X.X200OKDate:Tu.26Jul201O5:34:2OGMTContent-Typeextp1aiscMrsetF-SerCappEncryptllesultM:-aceS3d277ae75Sfc
29、faO7677S81c7ieSbieOe9O5a2fe422dfcOS187a7fe7d7eeO9ede57SSeiceS1411el757CC49993&2GeM43tecfe42d63G8CCba4ei2&2Cd2a47329e3eOCS1813f&81&62e7977b9aN)对客户端程序代码进行逆向分析,从登束按钮的1.iStener开始进行逻辑追踪,可见1.istener对密内进行Base64编码后进行了异步过程调用:lWH4w*CH,.m wtr.X2pOCXr4 ,W的SMM B,w 等f*ZMKoeAg找到异步过程子程,如下:ji MW。FKJjHpMU*vkZWM.,*.X7
30、pMM ZDWTf 讪SMM74*1H.ZAKfr-ZTJ三三CJ5w“R*.-X,R.J.EUStrgMtetvecKMkDS1.*gIttSiXuI.3.CVMlfMtl:EVrBtr;2sul三:rSRd.MpOmSWc*H份Wblncfrtory.pWMk9*CMry出APOCXOPrtior MW2 J.AppSM4,由umf电WU第4*f9t.ZMKf,XImtAMuxiW40lofEHfbaadXBMltnr1a9per0tcU0,ctloeUXW*E:StrutM11jIf0!aaU).9Mlr(DIw9uiagTM:,1)eQMfaaW),rll0C19OK*MtX.Mran
31、9Mtv*alI(IteiWX1.etctM*9t4t*MMla);2cecn,HUtrt,A,Z-XXerr,九21HM1I4O.*U4.21H1CIM.IMllIl-10上W.ti.x,igivir.t.fcc8M.Mm*Mllt11xr三11u&M)-IMUBImC*ItMlEMWtMalI继续进行逻辑追踪,发现HttPWebSerViCe.IOgin(String,string)中调用了加密封装功能:EW4*fcW0MMVefctoQ4p*di.w*0rM暂OOtof*4fiAf9(M23团c*,讪WWFf* /*MCi J*aldte Zto0M MaMMymJlR在相关功能中发现了
32、以常量字符串形式硬编码存储的加密算法、初始化向量、和密钥:SMS4.Cft5SM4.31.oxAOXyxbSHtWWVeea.1141.UMBMo.ooCUMNMOUl1(PAlkCWUcSttlaq*Depe(SuiaeparaaSctial.Sr107praStra2)UifvsUev9ueaI1(pxMtria92-anXll:PISyMa。(3wMr2aalinxEWrBmil:Bfpratr2.1eM()14(3yvBMt.ptiae(11Qry*不1R”romiMdliIServtnrySpcXoe15cr*%lk3pc-11rrScr*nvy3pe(parBSirla2.vtytufXxaieifMfUiaR.ef,Atacyf”
