哪些问题有助于确定移动应用渗透测试的范围?

信息安全 渗透测试 威胁建模 移动应用
2021-08-22 06:03:10

在安排渗透测试时,常见的做法是向客户提出一组问题,并将答案作为进一步讨论的基础,或者直接提供测试计划和报价。

特别是对于移动应用程序,哪些问题有助于包括在内?例如:

  • 该应用程序支持哪些平台?例如 iOS、Android
  • 该应用程序是否使用跨平台框架开发?例如 PhoneGap、Kivy
  • 应用程序是否连接到它自己的后端服务?例如定制的 REST、Firebase
    • 这些连接是否使用 SSL 固定?
  • 该应用程序是否提供额外的 UI 安全性?例如 PIN、FLAG_SECURE
  • APP是否提供IPC接口?例如 URL 处理程序、意图
  • 应用程序是否与硬件接口?例如蓝牙读卡器
  • 应用程序是否被混淆?
  • 应用程序是如何交付的?例如公共商店、商店中的私人应用程序、备用商店、侧载
  • 使用什么身份验证?例如配对、用户名和密码、与 Facebook 连接
  • 该应用程序有多少视图/页面?
  • 应用程序请求什么权限?
  • 该应用程序是否建立任意网络连接或侦听端口?

如果您有任何其他想法,请告诉我!

1个回答

我觉得很重要的一点是,并不是所有的应用程序都是纯粹用 Java 和 XML 创建的,有些人喜欢将他们的网站转换为 android 应用程序,实际上这只是他们网站在 5 英寸屏幕上显示的副本。,不是不仅因为它更便宜,而且还因为它节省了他们的时间。

一些建议,

  • 它是转换后的应用程序吗?(如果它是从网页转换的)
  • 在开发过程中或应用程序中使用了哪些技术,例如 HTML 5或 javascript?
其它你可能感兴趣的问题
上一篇GraphQL 端点上的 CSRF 下一篇使用 TLS 时,对 HTTP 请求进行签名有什么好处吗?