Android客户端安全测试报告模板通用版.pdf

《Android客户端安全测试报告模板通用版.pdf》由会员分享，可在线阅读，更多相关《Android客户端安全测试报告模板通用版.pdf（30页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XX APP（android）安全测试报告）安全测试报告 文档编号文档编号 密级密级 版本编号版本编号1.0 日期日期2017/10/17 2022 绿盟科技绿盟科技 版权声明版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿绿盟科技盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。版本变更记录版本变更记录时间时间版本版本说明说明修改人修改人2017-10-171.0文档创建业务标准化小组I目录目录目录目录一.测试环境.2二.测试结果汇总.错误！未定义书签。错误！未定

2、义书签。三.详细测试报告.83.1客户端静态安全.83.1.1反编译保护.83.1.2安装包签名.93.1.3应用完整性校验.103.1.4组件导出安全.113.2客户端数据安全.113.2.1本地文件权限配置.113.2.2本地文件内容安全.123.2.3本地日志内容安全.133.3客户端运行时安全.143.3.1输入记录保护.143.3.1屏幕录像保护.153.3.1进程注入保护.163.3.1Activity 劫持保护.173.4安全策略设置.183.4.1密码复杂度策略.183.4.2认证失败锁定策略.193.4.3单点登录限制策略.203.4.4会话超时策略.213.4.5UI 敏感

3、信息安全.223.5通信安全.223.5.1加密协议有效性.223.6服务器端安全.263.6.1SQL 注入.26四.感谢.262一一.摘要摘要经 XX 公司授权，绿盟科技渗透测试小组于 xxxx 年 xx 月 xx 日-xxxx 年 xx 月 xx 日，对XX APPAndroid 客户端进行了渗透测试工作，渗透测试结果如下。绿盟科技认为被测网站当前安全状态是：远程不安全系统远程不安全系统远程一般安全系统远程一般安全系统远程安远程安全系统全系统*安全等级评定参考附录安全等级评定参考附录 A，编写报告时请将注释删除。，编写报告时请将注释删除。*测试对象测试对象相关地址相关地址安全评价安全评价

4、XX APP Android 客户端客户端IP/域名远程不安全系统远程不安全系统远程一般安全系统远程一般安全系统远程安全系统远程安全系统测试结果如下：一.严重严重问题问题：1 个二.中等问题中等问题：2 个三.轻度问题轻度问题：1 个四.风险提示风险提示：1 个图 1.1安全问题分布图3*安全问题分布图采用堆积柱形图，注意颜色填充，图例在右侧，编写报告时请将注释删安全问题分布图采用堆积柱形图，注意颜色填充，图例在右侧，编写报告时请将注释删除。除。*详细安全问题汇总如下：表 1.1发现问题汇总测试项测试项测试内容测试内容结果结果威胁等级威胁等级客户端静态安全反编译保护不安全中危安装包签名不安全中

5、危应用完整性校验安全-组件导出安全安全-客户端数据安全本地文件权限配置不安全中危本地文件内容安全不安全高危本地日志内容安全不安全高危客户端运行时安全输入记录保护不安全中危屏幕录像保护不安全中危进程注入保护不安全高危Activity 劫持保护不安全中危安全策略设置密码复杂度策略安全-认证失败锁定策略安全-单点登录限制策略安全-会话超时策略不安全低危UI 敏感信息安全安全-通信安全加密协议有效性不安全高危服务器端安全SQL 注入不安全高危二二.服务概述服务概述本次渗透测试工作是由绿盟科技的渗透测试小组独立完成的。绿盟科技渗透测试小组在 xxxx 年 xx 月 xx 日-xxxx 年 xx 月 xx

6、 日对 XX 系统进行了渗透测试工作。在此期间，绿盟科技渗透测试小组利用部分前沿的攻击技术，使用成熟的黑客攻击手段，集合软件测试技术（标准）对指定网络、系统做入侵攻击测试，希望由此发现网站、应用系统中存在的安全漏洞和风险点。42.1测试流程测试流程绿盟科技渗透测试服务流程定义为如下阶段。图 2.1渗透测试流程1.信息收集：此阶段中，绿盟科技测试人员进行必要的信息收集，如 IP 地址、DNS 记录、软件版本信息、IP 段、Google 中的公开信息等。2.渗透测试：此阶段中，绿盟科技测试人员根据第一阶段获得的信息对网络、系统进行渗透测试。此阶段如果成功的话，可能获得普通权限。3.缺陷利用：此阶段

7、中，绿盟科技测试人员尝试由普通权限提升为管理员权限，获得对系统的完全控制权。在时间许可的情况下，必要时从第一阶段重新进行。4.成果收集：此阶段中，绿盟科技测试人员对前期收集的各类弱点、漏洞等问题进行分类整理，集中展示。5.威胁分析：此阶段中，绿盟科技测试人员对发现的上述问题进行威胁分类和分析其影响。6.输出报告：此阶段中，绿盟科技测试人员根据测试和分析的结果编写直观的渗透测试服务报告。2.2风险管理及规避风险管理及规避为保障客户系统在渗透测试过程中稳定、安全的运转，我们将提供以下多种方式来进行风险规避。对象的选择对象的选择为更大程度的避免风险的产生，渗透测试还可选择对备份系统进行测试。因为备份

8、系统与在线系统所安装的应用和承载的数据差异较小，而其稳定性要求又比在线系统低，因此，选择对备份系统进行测试也是规避风险的一种常见方式。时间的控制时间的控制从时间安排上，测试人员将将尽量避免在数据高峰时进行测试，以此来减小测试工作对被测试系统带来的压力。另外，测试人员在每次测试前也将通过电话、邮件等方式告知相关人员，以防止测试过程中出现意外情况。5技术手段技术手段绿盟科技的渗透测试人员都具有丰富的经验和技能，在每一步测试前都会预估可能带来的后果，对于可能产生影响的测试（如：溢出攻击）将被记录并跳过，并在随后与客户协商决定是否进行测试及测试方法。监控措施监控措施针对每一系统进行测试前，测试人员都会

9、告知被测试系统管理员，并且在测试过程中会随时关注目标系统的负荷等信息，一旦出现任何异常，将会停止测试。工具使用工具使用在使用工具测试的过程中，测试人员会通过设置线程、插件数量等参数来减少其对系统的压力，同时还会去除任何可能对目标系统带来危害的插件，如：远程溢出攻击类插件、拒绝服务攻击类插件等等。2.3参考依据参考依据为了保证此次渗透测试的先进性、完备性、规范性，绿盟科技渗透工程师将参考下列国内、国际与渗透测试有关的标准进行工作。国内可参考的标准、指南或规范国内可参考的标准、指南或规范ISO/IEC 27001:2005 信息技术-安全技术-信息系统规范与使用指南ISO/IEC 13335-1:

10、2004 信息技术-安全技术-信息技术安全管理指南ISO/IEC TR 15443-1:2005 信息技术安全保障框架ISO/IEC PDTR 19791:2004 信息技术 安全技术 运行系统安全评估GB/T 20984-2007 信息安全技术 信息安全风险评估规范GB/T 19715.1-2005 信息技术-信息技术安全管理指南GB/T 19716-2005 信息技术-信息安全管理实用规则GB/T 18336-2001 信息技术-安全技术-信息技术安全性评估准则GB/T17859-1999 计算机信息系统安全保护等级划分准则GB/T 20984-2007 信息安全技术 信息安全风险评估规范

11、GB/T 20988-2007 信息系统灾难恢复规范GB/Z 20986-2007 信息安全事件分类分级指南绿盟科技渗透测试最佳实践绿盟科技安全服务工作规范、渗透测试实施规范6国际可参考的标准、指南或规范国际可参考的标准、指南或规范信息系统审计标准（ISACA）G3 利用计算机辅助审计技术信息系统审计标准（ISACA）G7 应有的职业谨慎信息系统审计标准（ISACA）G9 不正当行为的审计考虑信息系统审计标准（ISACA）G18 信息系统管理信息系统审计标准（ISACA）G19 不正当及非法行为信息系统审计标准（ISACA）G33 对网络使用的总体考虑CESG(CHECK)IT Health

12、Check 方法OWASP OWASP_Testing_Guide_v3OWASP OWASP_Development_Guide_2005OWASP OWASP_Top_10_2010_Chinese_V1.0OWASPOWASP_Top_10_2013-Chinese-V1.2OWASP OWASP_Top_10_2017_RC1_V1.0OSSTMM OSSTMM_Web_App_AlphaWeb 应用安全委员会（WASC）WASC Threat Classification v22.4预期收益预期收益通过实施渗透测试服务，可对贵方的网站系统起到如下推进作用：明确安全隐患明确安全隐患渗透

13、测试是一个从空间到面再到点的过程，测试人员模拟黑客的入侵，从外部整体切入最终落至某个威胁点并加以利用，最终对整个网络产生威胁，以此明确整体系统中的安全隐患点。提高安全意识提高安全意识如上所述，任何的隐患在渗透测试服务中都可能造成“千里之堤溃于蚁穴”的效果，因此渗透测试服务可有效督促管理人员杜绝任何一处小的缺陷，从而降低整体风险。提高安全技能提高安全技能在测试人员与用户的交互过程中，可提升用户的技能。另外，通过专业的渗透测试报告，也能为用户提供当前流行安全问题的参考。三三.测试服务说明测试服务说明3.1测试对象与环境测试对象与环境本次渗透测试按着事先约定的测试范围展开测试工作，测试对象如下所示：

14、表 3.1测试对象测试测试项项测试测试结果结果Package 名称版本信息APK 文件大小APK-Md5 值（在线查询：http:/www.atool.org/file_hash.php）表 3.2测试帐号测试账号测试账号账号账号密码密码Ukey高权限system*无低权限test*无*若无测试账号将该表删除，编写报告时请将注释删除。若无测试账号将该表删除，编写报告时请将注释删除。*测试过程中，绿盟科技测试小组使用过多个 IP 地址开展的分析工作，地址如下：表 3.3测试 IPIP 地址地址IP 地址地址IP 地址地址IP 地址地址111.111.111.111*填写测试工程师电脑的填写测试工

15、程师电脑的 IP 地址，编写报告时请将注释删除。地址，编写报告时请将注释删除。*在此通知相关人员在对受测试的目标站点服务器、相应的网络入侵检测系统进行安全监控和日志分析时，排除以上 IP 地址产生的任何违规信息，以保证分析结果的准确有效。3.2测试时间与人员测试时间与人员本次渗透测试按着事先约定的测试时间开展，如下所示：表 3.4测试时间测试测试工作时间段工作时间段起始时间起始时间xxxx 年 xx 月 xx 日结束时间结束时间xxxx 年 xx 月 xx 日本次绿盟科技测试小组参与渗透测试人员，如下所示：表 3.5测试人员参测参测人员人员名单名单姓名姓名张三所属部门所属部门XX 服务交付部联

16、系方式联系方式二二.测试环境测试环境硬件：Emulator 虚拟机(Nexus S)客户端版本：Android 4.4.2三三.详细测试报告详细测试报告3.1客户端静态安全客户端静态安全3.1.1 反编译保护反编译保护问题描述问题描述成功的反编译将使得攻击者能够完整地分析 APP 的运行逻辑，尤其是相关业务接口协议、和通信加密的实现。测试步骤测试步骤使用反编译工具对客户端进行反编译，并使用 Java Decompiler 打开 jar 包：测试结果测试结果【中危】不安全。客户端代码可以被完整地反编译。安全建议安全建议建议客户端进行加壳处理防止攻击者反编译客户端，至少要对核心代码进行混淆。3.1

17、.2 安装包签名安装包签名问题描述问题描述在 Android 中，包名相同的两个 APK 会被认为是同一个应用。当新版本覆盖旧版本时，签名证书必须一致，否则会被拒绝。（即使开启了“允许未知来源的应用”）。如果 APK没有使用自己的证书进行签名，将会失去对版本管理的主动权。测试步骤测试步骤使用 JDK 中的 jarsigner.exe 检查安装包的签名。测试结果测试结果不安全。APK 使用测试签名（而非专用签名）。安全建议安全建议建议客户端使用 APP 从属方证书进行签名后进行发布而不是使用第三方开发商的证书进行签名，以防开发商内部监管异常，证书滥用的情况出现。3.1.3 应用完整性校验应用完整

18、性校验问题描述问题描述缺失完整性校验主要会面临盗版、破解内购、在应用市场中夹带木马、广告等风险。测试步骤测试步骤将客户端程序文件反编译，修改源码或资源文件后重新打包安装运行。经测试，APP 无法被重新打包运行。测试结果测试结果安全。客户端程序存在自校验措施。安全建议安全建议建议客户端在每次开机启动时进行客户端自身的应用完整性校验，在验证逻辑中不使用MANIFEST.MF 中的数据作为验证凭证，同时需验证是否有不属于该客户端版本的新文件添加，验证过程于服务器端完成。3.1.4 组件导出安全组件导出安全问题描述问题描述导出组件没有进行严格的访问控制，那么其它 APP 就可以通过调用这个导出组件的接

19、口来访问原本没有声明权限的功能，构成本地权限提升。测试步骤测试步骤检查客户端是否存在组件劫持风险，查看客户端程序具有导出哪些应用信息的权限。反编译 APK 文件后，检查 AndroidManifest 文件中是否有多余的 android:export 声明，客户端是否存在导出其他应用信息的权限。测试结果测试结果安全。没有发现多余的 export 声明。安全建议安全建议避免不必要的组件导出。3.2客户端数据安全客户端数据安全3.2.1 本地文件权限配置本地文件权限配置问题描述问题描述视具体的泄露信息而定，敏感信息泄露可能会方便恶意程序窃取凭据，或者泄露一些原本不希望被用户看到的内容。测试步骤测试

20、步骤查看 APP 数据目录下的文件权限。测试结果测试结果不安全。有部分文件全局可读。安全建议安全建议正常的文件权限最后三位应为空（类似“rw-rw-”），目录则允许多一个执行位（类似“rwxrwxx”）。3.2.2 本地文件内容安全本地文件内容安全问题描述问题描述检查 APP 数据目录中的文件中是否包含敏感内容。包括文本文件、二进制文件、SharedPreference 等 XML 文件、WebView 等数据库文件等等。视具体的泄露信息而定，敏感信息泄露可能会方便恶意程序窃取凭据，或者泄露一些原本不希望被用户看到的内容。测试步骤测试步骤查看 APP 目录下的文件内容，发现了明文存储的用户 I

21、D 和密码：测试结果测试结果不安全。发现了明文存储的敏感信息。安全建议安全建议尽量避免在文件、数据库等位置写入敏感信息。如果确实需要存储，应当进行加密。3.2.3 本地日志内容安全本地日志内容安全问题描述问题描述视具体的泄露信息而定，敏感信息泄露可能会方便恶意程序窃取凭据，或者泄露一些原本不希望被用户看到的内容。测试步骤测试步骤使用 logcat 命令查看 APP 输出的日志，如下：测试结果测试结果不安全。在日志中可见网络传输报文的内容，内含等价明文的敏感信息安全建议安全建议开发过程中应尽量避免在日志中输出敏感信息，上线前应及时去除不必要的日志输出。3.3客户端运行时安全客户端运行时安全3.3

22、.1 输入记录保护输入记录保护问题描述问题描述和 PC 端常见的木马类似，恶意程序可以对用户输入的敏感信息（主要是密码）进行窃听。测试步骤测试步骤通过在 native 层读取/dev/input/event0 设备，截取到了密码输入内容：测试结果测试结果不安全。安全建议安全建议尽量使用系统自定义的随机软键盘（而非系统输入法）来输入敏感信息。或者对 Native层输入记录功能进行 Hook（需要 root 权限）。3.3.1屏幕录像保护屏幕录像保护问题描述问题描述和输入记录类似，恶意程序可以对用户输入的敏感信息（主要是密码）进行窃听。测试步骤测试步骤进入登录页面，在输入密码的同时，进行连续截图，

23、即可记录用户输入的密码：测试结果测试结果不安全。客户端程序没有防护截屏操作。安全建议安全建议在敏感信息的输入过程尽量避免视觉反馈，或者在操作系统层面对截屏相关功能进行Hook 以阻止敏感信息输入期间其它程序的截屏操作（需要 root 权限）。3.3.1进程注入保护进程注入保护问题描述问题描述如果 Android 客户端没有对进程进行有效的保护，攻击者就可以向从 Native 层面向客户端进程远程加载任意.so 链接库，从而侵入客户端进程的进程空间，以搜索、篡改敏感内存或干涉客户端的执行过程。测试步骤测试步骤尝试通过 pTrace 将一个会输出 logcat 的.so 库注入目标进程中，相关的两

24、个进程均成功：测试结果测试结果不安全。攻击者将恶意代码的 so 文件注入到客户端进程中，就有可能实现任意控制程序执行。安全建议安全建议在 Native 环境中防护 ptrace 并检查当前进程中的可执行模块。也可利用一些外部产品，使得客户端在虚拟机中运行。3.3.1Activity 劫持保护劫持保护问题描述问题描述检查客户端是否存在 Activity 劫持风险。成功的 Activity 劫持将会替换客户端的启动界面，对用户产生很大的诱骗作用。测试步骤测试步骤安装绿盟 activity 劫持测试工具，在劫持目标中填写客户端进程名，点 ok 后工具自动隐藏。启动客户端。发现客户端程序的主界面被成功

25、替换：测试结果测试结果不安全。客户端没有对 Activity 劫持进行防护。安全建议安全建议Activity 劫持通常依靠注册 Receiver 响应 android.intent.action.BOOT_COMPLETED事件。客户端程序可以在启动前检查 Receiver 并报警；由于 Activity 界面劫持攻击通常是将自己的页面附着在客户端之上，因此需要进行界面切换操作，因此在界面切换到后台时弹出警告信息也可以达到一定的效果。除此之外，因为 Android 进程栈的工作原理，建议开发客户端时针对进程栈进行相应的保护，可禁止其他进程放置于客户端之上。3.4安全策略设置安全策略设置3.4.

26、1 密码复杂度策略密码复杂度策略问题描述问题描述如果系统缺少密码复杂度策略，攻击者将有机会通过暴力猜测、撞库等方式获取一些安全意识淡薄的合法用户的认证凭据。测试步骤测试步骤人工测试，尝试将密码修改为弱口令，如：123456，654321，121212，888888 等，查看客户端是否拒绝弱口令。测试结果测试结果安全。客户端存在密码复杂度策略。安全建议安全建议在注册账号、修改密码等需要设置密码的过程中，检测用户的密码强度，并在用户尝试设置弱口令时予以提示或阻止。3.4.2 认证失败锁定策略认证失败锁定策略问题描述问题描述如果系统不存在认证失败锁定策略，攻击者将有机会对认证凭据进行暴力猜测。测试步

27、骤测试步骤测试客户端是否会限制密码输入错误次数，是否会进行锁定。测试结果测试结果安全。在登录失败 5 次后，账号被锁定。安全建议安全建议以 IP 地址或用户账号为单位，如果用户连续进行若干次错误的认证尝试，则禁止其后续认证操作。3.4.3 单点登录限制策略单点登录限制策略问题描述问题描述如果系统允许同一个用户同时在多个会话中登录，那么用户就很难察觉到自身的账号已经被盗。测试步骤测试步骤测试同一个帐号是否可以同时在多个设备上登录客户端，进行操作。测试结果测试结果安全。先登录的用户会话被终止。安全建议安全建议在数据库或服务器缓存中记录每个用户当前登录的 SessionID，不允许同一个用户同时在多

28、个 Session 中登录。3.4.4 会话超时策略会话超时策略问题描述问题描述对于认证会话不会超时的 APP，如果用户在使用过程中将设备放置一旁并遗忘，攻击者将有可能通过物理接触的方式以用户身份进行操作。测试步骤测试步骤测试客户端在一定时间内无操作后，是否能提示超时并要求重新登录。测试结果测试结果不安全。静置超过 10 分钟，客户端依然能够进行操作。安全建议安全建议长时间不操作时，应当终止会话。3.4.5 UI 敏感信息安全敏感信息安全问题描述问题描述视具体的泄露信息而定，敏感信息泄露可能会方便恶意程序窃取凭据，或者泄露一些原本不希望被用户看到的内容。测试步骤测试步骤人工观察客户端的各个功能

29、界面，检查是否存在敏感信息泄露问题。测试结果测试结果安全。没有发现敏感信息。安全建议安全建议敏感信息在界面上显示时，应当进行模糊化处理。3.5通信安全通信安全3.5.1 加密协议有效性加密协议有效性问题描述问题描述如果客户端与服务器之间的通信加密协议实现不当，攻击者将有机会对当前网络环境中其他合法用户的通信内容进行窃听甚至篡改。测试步骤测试步骤检测客户端与服务器的通信过程能否抵抗被动嗅探攻击、中间人攻击、重放攻击等常见形式的通信攻击。在手机终端设置 HTTP 代理，指向电脑上的 fiddler 代理工具。准备完成后打开手机客户端，在 fiddler 上替换服务器发送给客户端的证书，对客户端和服

30、务器的通信进行 SSL 中间人攻击，成功捕获到客户端和服务器间的通信，但通信字段明显经过分组对称加密算法处理：对客户端程序代码进行逆向分析，从登录按钮的 Listener 开始进行逻辑追踪，可见Listener 对密码进行 Base64 编码后进行了异步过程调用：找到异步过程子程，如下：继续进行逻辑追踪，发现 HttpWebService.login(string,string)中调用了加密封装功能：在相关功能中发现了以常量字符串形式硬编码存储的加密算法、初始化向量、和密钥：编写代码仿制相关加密协议，成功对最初登录报文中的内容进行了解密：测试结果测试结果不安全。在代码中硬编码较弱的密钥，攻击者

31、甚至无需中间人攻击，只要被动嗅探即可解密合法用户流量。安全建议安全建议建议使用 SSL 协议，并在客户端对服务端的证书进行验证。如果自行实现加密协议，建议采取动态密钥交换。3.6服务器端安全服务器端安全3.6.1 SQL 注入注入问题描述问题描述目标网站会将用户输入的内容拼接入SQL代码中。攻击者可以通过构造SQL注入代码，以当前应用程序的数据库权限执行任意 SQL 查询。如果相关权限配置不当，攻击者甚至有可能进行权限提升并完全控制整个服务器。测试步骤测试步骤略。测试结果测试结果不安全。攻击者能够完全读取整个数据库中的信息。安全建议安全建议使用参数化查询，避免拼接 SQL 字符串。四四.感谢感

32、谢在本次 APP 安全测试过程中，绿盟科技感谢各位领导及相关人员的大力配合，以使得我们的工作顺利完成。附录附录 A A 安全等级评定安全等级评定安全等级安全等级资源内容描述资源内容描述远程不安全系统（符合任何一个条件）1.存在一个或一个以上严重的安全问题，可直接导致系统受到破坏；2.与其他非安全系统连接，同时存在相互信任关系（或帐号互通）的主机；3.发现已经被人入侵且留下远程后门的主机；4.存在 3 个以上中等安全问题的主机；5.与其他非安全系统在一个共享网络中，同时远程维护明文传输口令；6.完全不能抵抗小规模的拒绝服务攻击远程一般安全系统（符合任何一个条件）1.存在一个或一个以上中等安全问题

33、的主机；2.开放过多服务，同时可能被利用来进行拒绝服务的主机；3.与其他非安全系统直接连接，但暂时不存在直接信任(或帐号互通)关系；4.远程维护通过明文的方式传递信息；5.存在三个以上轻度安全问题的主机；6.只能抵御最低级的拒绝服务攻击；远程安全系统（符合全部条件）1.最多存在 1-2 个轻度安全问题；2.远程维护方式安全；3.与不安全或一般安全系统相对独立；4.能抵挡一定规模的拒绝服务攻击。附录附录 B B 风险程度分级风险程度分级风险风险程度的分级方式说明如下程度的分级方式说明如下：严重严重：直接导致系统被入侵或数据被破坏，一旦发生，就是严重的安全事件。中等中等：可能导致重要信息的泄漏、系统拒绝服务或有较高可能导致系统被入侵控制。轻度轻度：敏感信息泄漏或存在轻微安全问题，一般不会产生严重的安全事件。