移动应用APP中间人攻击的分析与测试
文/康剑萍葛岩
[摘要] 随着移动应用APP的快速发展,其所面临的安全问题也越来越突出,从侵犯个人隐私到截取敏感数据,都给使用者带来巨大的风险。本文通
过对移动应用APP中间人攻击基本原理的概述,详细分析了造成移动APP中
间人攻击的原因,以及在实际安全测试中遇到的问题和解决办法。本文认为
最重要的是如何在开发过程中规避这种风险,防止APP遭受中间人攻击。正
如何用u盘装xp系统确使用HTTPS协议,做好证书有效性校验,才能避免通信数据被窃听、被篡
改和被伪装。
[关键词] APP 中间人攻击 HTTPS 证书
一、背景分析
互联网的发展已经从PC互联网发展到移动互联网,智能手机的普及极大地推动了移动应用APP的快速增长。与2019年同期相比,2020年1月到9月APP Store 全球下载量增加11.8%,Google P l a y全球下载量增加5.3%,华为应用市场全球下载量增加31.2%,但快速发展的A P P应用安全问题层出不穷,从过度获取不相关的权限到泄漏个人隐私信息、从获取传输信息中的重要关键信息到植入恶意代码或广告,这些陷阱无一不困扰着APP用户的使用体验[1]。互联网时代的数据就是生产力,对重要信息数据的保护不仅关系着广大商家的利益,更关系着广大人民众的生命
和财产安全。
二、移动应用APP的主要安全
风险
随着新一代信息技术的发展及
智能家居物联网的兴起,移动应用
APP越来越渗透到人们生活中,同
时也带来很多安全问题。主要安
全问题可以从以下三个方面进行划
分,分别是客户端安全、数据通信
厦门景点排行榜安全和服务器端安全。
1.客户端安全风险
客户端APP的安全风险主要是公司员工规章制度
指本地手机上的数据安全,主要包
括:是否能反编译、是否能二次打
包、本地数据存储安全、组件是否
能导出、界面劫持风险等。
2.通信安全风险掖
APP在与服务器的通信中有数
据被劫持的风险,主要包括:是否
能防止重放攻击、是否能防止中间
人攻击、客户端和服务器端的通信
是否采用了TLS密通信等。
3.服务器端风险
服务器端风险主要集中在登录
时的安全策略(密码和身份认证策
略)、web应用常见漏洞(SQL注
入漏洞、跨站脚本(XSS)漏洞、
上传漏洞等)、业务安全漏洞(平
行越权和垂直越权)等。
三、移动应用APP中间人攻击
分析
通信安全能保证客户端APP正
确地与服务器端进行通信,中间不
【DOI】10.16691/jki.10-1214/t.2021.02.011
检测
Testing
编辑 徐航
《质量与认证》2021·02 75
图1 HTTPS通信中的中间人攻击
通信需要的数字证书是向CA机构,然后在服务器端设置后才
。
但这一类的CA机构是商
,一般需要按年缴费。而常使用openssl工具生成自签发的数字证书。数字证书包含证书颁证书使用者、证书公钥、颁发者签名等信息。
要成功进行中间人攻击的前提任所有的证书。
二代火影如果用户的手机中被不小心安装了一张恶意证书的话,那么黑客就可以通过中间人攻击的方法获取用户的敏感信息,或者修改请求或响应中的数据。
少先队员的知识(2) 服务器端证书及域名校验
没有对服务器端证书和域名进行校验或校验不完整,是造成中间
试时常常会发现,抓到的通信数据包虽然使用了H T T P S协议,但数据中还是包含了明文。H T T P S是在应用层和传输层之间加密,只有息是加密的,且只有客户端和服务器端才能对数据进行解密
对一些安全性要求高的网站
做好客户端应用层数据的加密工
图2校验服务器端证书
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论