渗透测试流程概述

63 0 0

渗透测试分为网页版在网站使用和APP两个方向，可以先了解下APP的渗透测试过程吧！在渗透测试时，我们在选择工具时有Android 的APP方法/步骤组件安全检测，可以实现对Activity安全、Broadcast Receiver安全、Service安全、Content Provider安全、Intent安全和WebView的规范使用检测分析，并对渗透测试的结果进行反馈。在发现因为程序中不规范使用导致的组件漏洞。代码安全检测对代码混淆、Dex保护、SO保护、资源文件保护以及第三方加载库的代码的安全处理进行检测分析，发现代码被反编译和破解的漏洞。内存安全检测。检测APP运行过程中的内存处理和保护机制进行检测分析，发现是否存在被修改和破坏的漏洞风险。数据安全检测。对于数据输入、数据存储、存储数据类别、数据访问控制、敏感数据加密、内存数据安全、数据传输、证书验证、远程数据通信加密、数据传输完整性、本地数据通讯安全、会话安全、数据输出、调试信息、敏感信息显示等过程进行漏洞检测并在对于以上的数据进行统计保存，发现数据存储和处理过程中被非法调用、传输和窃取漏洞后，后期我们运维管理员可以以此次渗透测试的结果对我们的服务器进行安全整合，业务安全检测。我们在做渗透测试时一定要对用户登录，密码管理，支付安全，身份认证，超时设置，异常处理等进行检测分析，发现业务处理过程中的潜在漏洞并及时以日志的形式进行内容保存的一种方式就是渗透测试的整个流程。