移动APP安全漏洞类型Top 10

移动安全 2年前 (2021) admin
615 0 0

往期精华文章:

  1. 《工信部下架APP常见问题整改方案》

  2. 《个人信息保护法》解读

  3. 一图看懂《个人信息保护法》



(1)通信数据明文发送

客户端APP与服务器端交互的数据通过明文的通信信道传输


(2)通信数据可解密

客户端APP与服务器交互的数据传输加密,但数据依然可以被解密


(3)敏感数据本地可破解

客户端APP将敏感数据(如登录密码,手势密码等)以明文存储在本地,或加密 存储但通过逆向分析程序可以破解该数据


(4)调试信息泄露

客户端APP将开发时帮助调试的信息打印出来,这些信息通常包含一些敏感的参数,消息的明文等。


(5)敏感信息泄露

客户端APP代码中泄露敏感数据,如对称加密密钥,非对称加密中的私钥,认证使用的共享密钥,不应该被暴露的后台服务器管理地址等等。


(6)密码学误用

客户端APP代码中使用了不安全的密码学实现,例如固定硬编码的对称加密,ECB模式的对称加密,CBC模式中的IV固定,不安全的公钥进行非对称加密等。


(7)功能泄露

客户端APP中高权限等行为和功能(如发送短信,读取联系人等)没有被安全的保护,被其他无授权的应用程序调试或访问。


(8)可二次打包

客户端APP可被修改代码后,重新打包发布在市场上供用户下载


(9)可调试

客户端APP能够被调试,动态的提取,修改运行时的程序数据和逻辑


(10)代码可逆向

客户端APP的逻辑能够被轻易获取和逆向,得到代码和程序中的敏感数据


原文始发于微信公众号(京数安APP安全实验室):移动APP安全漏洞类型Top 10

版权声明:admin 发表于 2021年11月5日 上午3:01。
转载请注明:移动APP安全漏洞类型Top 10 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...