前言

为进一步做好移动互联网APP产品的安全漏洞管理支撑工作,不断推动《规定》在移动互联网APP产品的落地实施。中国软件测评中心于4月12日举办了“移动互联网APP产品安全漏洞技术沙龙”研讨会。研讨会围绕《规定》解读、漏洞报送、APP漏洞分类分级、漏洞处置修复等内容开展观点分享和讨论。山东新潮信息移动安全负责人-赵宇翱,作为此次沙龙的演讲嘉宾,进行相关议题的分享。

自动化批量APP漏洞挖掘

本议题主要介绍了如何对App漏洞进行批量化、自动化挖掘的方法。
内容摘要
        目前市面上大多数APP安全检测平台更侧重针对于APP的静态漏洞检测,检测内容也仅局限于应用自身的安全,相较于一些Web漏洞而言,无法对APP应用的服务器、数据库造成较大的影响。
为了批量挖掘一些价值相对较高、危害较大的APP漏洞,将目标定位到了APP网络通信接口的安全上,通过配置定制化沙箱让需要的数据进行自吐、 或者使用hook方式hook安卓系统网络层的API来获取通信请求、也可以通过采集APP静态资源文件和代码文件获取、还可以部署一些开源安全检测框架来获取网络通信接口。最后将结果汇总并调用第三方的API接口进行二次信息搜集和漏洞探测。
结合自建的APP检测平台可以同时做到APP的静态分析、动态检测和web接口漏洞扫描,从而对APP进行批量化、全方位的漏洞挖掘和安全性分析。
以下为沙龙分享的APP漏洞自动化批量挖掘技术部分PPT内容。

应用场景

挖掘思路

实现方式

沙箱

  • 基于HOOK的沙箱:APPMON
  • 基于安卓源码的沙箱:

HOOK抓包

开源安全检测框架

AppInfoScanner

抓包工具

效果展示

总结

祝贺CAPPVD“移动互联网APP产品安全漏洞技术沙龙”研讨会圆满成功,也感谢CAPPVD对新潮信息的技术和能力的认可,新潮信息将继续投身于移动应用安全领域研究中,履行职责义务,协助支撑网络产品安全漏洞管理工作,为移动互联网APP产品安全领域贡献一份力量。
E
N
D
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。
团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室。团队公众号自创建以来,共发布原创文章370余篇,自研平台达到26个,目有15个平台已开源。此外积极参加各类线上、线下CTF比赛并取得了优异的成绩。如有对安全行业感兴趣的小伙伴可以踊跃加入或关注我们
继续阅读
阅读原文
关键词
沙箱
团队
新潮信息
安全团队
内容