Daftar Periksa Pengujian Penetrasi Aplikasi Android Paling Penting

  • Whatsapp
Daftar Periksa Pengujian Penetrasi Aplikasi Android Paling Penting
Daftar Periksa Pengujian Penetrasi Aplikasi Android Paling Penting
Pengujian Penetrasi Android

Android adalah basis terorganisir terbesar dari semua platform seluler dan berkembang pesat—setiap hari. Selain itu, Android meningkat sebagai sistem operasi yang paling diperluas dalam sudut pandang ini karena berbagai alasan.

Namun, sejauh keamanan, tidak ada data yang terkait dengan kerentanan baru yang dapat menyebabkan pemrograman lemah pada tahap ini yang terungkap, menyadari bahwa tahap ini memiliki permukaan serangan yang luar biasa.

Baca juga: Daftar Periksa Pengujian Penetrasi Server Web

Pengumpulan informasi

Pengumpulan Informasi adalah langkah paling dasar dari uji keamanan aplikasi. Tes keamanan harus mencoba menguji sebanyak mungkin basis kode.

Oleh karena itu, memetakan setiap cara yang mungkin melalui kode untuk mendorong pengujian menyeluruh adalah hal yang utama.

  • Informasi Umum. Ikhtisar informasi aplikasi umum.
  • Pengujian untuk Perpustakaan Umum dan Sidik Jari.
  • Daftar komponen aplikasi dan otorisasi Komponen.
  • Rekayasa Balik Kode Aplikasi.

Kelemahan Penyimpanan Lokal Aplikasi

Android memberikan beberapa alternatif bagi Anda untuk menyimpan informasi aplikasi yang gigih. Penyimpanan yang Anda pilih bergantung pada kebutuhan khusus Anda.

Misalnya, terlepas dari apakah informasi tersebut harus bersifat pribadi untuk aplikasi Anda atau terbuka untuk aplikasi yang berbeda (dan klien) dan berapa banyak ruang yang dibutuhkan data Anda.

  • Data yang masuk akal ditemukan di log dan cache.
  • Menyingkirkan Data Sensitif pada Penyimpanan Bersama (disajikan ke semua aplikasi tanpa batasan).
  • Penyedia Konten Injeksi SQL dan Izin Akses.
  • Periksa apakah data sensitif tetap ada bahkan setelah logout.
  • Kebocoran Privasi dan Metadata.

Baca juga: Daftar Periksa Pengujian Penetrasi Jaringan

Keamanan Lapisan Transportasi

Enkripsi dengan Transport Layer Security terus mengintai jauh dari pesan Anda saat mereka sedang terbang. TLS adalah protokol yang mengkodekan dan menyampaikan data dengan aman, baik untuk lalu lintas data masuk dan keluar, menghindari mata-mata.

  • Protokol Lapisan Transport Tidak Aman yang Lebih Lama.
  • Enkripsi Lemah TLS (CRIME, BREACH, BEAST, Lucky13, RC4, dll) dapat ditemukan dengan alat seperti (sslscan, sslyze, osaft dll.).
  • Penyimpanan Data Tidak Aman.
  • Melewati Penyematan Sertifikat TLS.
  • Cacat Keaslian TLS.

Keamanan IPC (komunikasi antar proses)

Mekanisme Android IPC memungkinkan Anda untuk memverifikasi identitas aplikasi yang terhubung ke IPC Anda dan menetapkan kebijakan keamanan untuk setiap mekanisme IPC.

  • Serangan Denial of Service Perangkat.
  • Izin & Masalah Berbagi Data Tanda Tangan Digital.
  • Aplikasi yang tidak sah bisa mendapatkan akses ke data sensitif.
  • Komponen Terungkap dan Otorisasi Lintas-Aplikasi.

Kode Tidak Tepercaya

  • Informasi sensitif diungkapkan dalam pesan kesalahan aplikasi.
  • Risiko Eksekusi JavaScript di WebViews.
  • Izin tidak aman yang disetel oleh aplikasi melalui file AndroidManifest.xml.
  • Buffer Overflow Berbasis Integer, Heap, dan Stack.

Cacat Otentikasi

Otentikasi adalah bagian dasar dari prosedur ini, namun bahkan otentikasi validasi yang kuat dapat dirusak oleh fungsi manajemen kredensial yang tidak sempurna, termasuk perubahan kata sandi, lupa kata sandi saya, ingat kata sandi saya, pembaruan akun, dan fungsi terkait lainnya.

  • Inkonsistensi Otentikasi.
  • Otentikasi Lintas Aplikasi.
  • Kesalahan penanganan sesi.
  • Kelemahan Otentikasi Berbasis Sisi Klien.
  • Tidak adanya kebijakan penguncian akun.

Kerentanan logika bisnis

kerentanan dengan komponen yang lebih berpusat pada desain daripada kodifikasi digabungkan. Trik eksekusi dan kapasitas aplikasi untuk bekerja dengan cara yang mengejutkan mempengaruhi proses kerjanya digabungkan.

  • Periksa validasi sisi server.
  • Kompromi akun admin/pengguna.
  • Periksa metode deteksi root/bypass.
  • Otentikasi bruteforce.

Pengujian Penetrasi Pemeriksaan sisi Server Android

  • Periksa injeksi sisi klien (XSS).
  • enumerasi nama pengguna.
  • injeksi SQL
  • Unggah file berbahaya.
  • Periksa semua metode HTTP (PUT, DELETE dll. Gunakan penyusup bersendawa menggunakan gangguan kata kerja HTTP).
  • Periksa manajemen sesi (cacat cookie, penggantian sesi, fiksasi sesi, dll.).
  • Cacat & bypass implementasi CAPTCHA.
  • Jalankan nikto, pemindai websever dirb.

Buka Metodologi Penilaian Keamanan Android

Kontrol Keamanan Android disusun di bagian berikut untuk kerangka referensi tentang Penilaian kerentanan aplikasi Android.

  • OASAM-INFO: Pengumpulan Informasi: Pengumpulan informasi dan definisi permukaan serangan.
  • OASAM-CONF: Manajemen Konfigurasi dan Penerapan: Penilaian konfigurasi dan penerapan.
  • OASAM-AUTH: Otentikasi: Penilaian otentikasi.
  • KRIP OASAM: Kriptografi: Penilaian penggunaan kriptografi.
  • OASAM-LEAK: Kebocoran Informasi: Penilaian kebocoran informasi rahasia.
  • OASAM-DV: Validasi Data: Penilaian manajemen entri pengguna.
  • OASAM-IS: Intent Spoofing: Penilaian manajemen penerimaan niat.
  • OASAM-KEPALA: Tanda Terima Niat Tidak Sah: Penilaian resolusi niat.
  • Logika Bisnis OASAM-BL: Penilaian logika bisnis aplikasi.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.