1、姓名姓名凌迟APP审计之白帽必杀技前言移动端APP的渗透在渗透测试这个领域早已是常态，在大部分白帽子的视角下，APP的安全审计工作，主要还是趋于网络接口层面的 OWASP TOP10，本次议题旨在从白帽子的视角下展开描述当涉及到APP的审计项目时，如何在除了常规web渗透的其他层面发现安全风险。目录1.移动APP架构中的威胁目标2.业务场景中的审计流程3.未来展望移动APP架构中的威胁目标风控安全通信安全运行时安全应用组件安全应用自身安全OWASPTOP 10何为安全风险？大部分是由于开发人员在开发APP的过程中不安全的代码编写方式或没有考虑相应的安全性导致。应用自身安全证书存储风险证书存储风

2、险完整性校验完整性校验二进制文件安全性二进制文件安全性敏感数据检测敏感数据检测敏感资源文件未加密敏感资源文件未加密敏感资源文件未加密App使用了第三方的代码执行引擎编写客户端的业务逻辑代码，这些代码以脚本的形式保存在App的资源文件中。由于没有对这些文件进行加密保护，攻击者可以直接从资源中获取本地业务逻辑代码，并发起其他攻击，如篡改、植入恶意代码、网络协议分析等。完整性校验攻击者可以篡改应用（插入恶意代码、木马、后门、广告等），重新签名并且二次发布，导致应用程序完整性被破坏。证书存储风险APP中使用的数字证书可被用来校验服务器的合法身份，以及在与服务器进行通信的过程中对传输数据进行加密、解密运

3、算，保证传输数据的保密性、完整性。明文存储的数字证书如果被篡改，客户端可能连接到假冒的服务端上，导致用户名、密码等信息被窃取；如果明文证书被盗取，可能造成传输数据被截获解密，伪造客户端向服务器发送请求，篡改服务器中的用户数据或造成服务器响应异常。二进制文件安全性代理检测代理检测反调试反调试环境检测环境检测反反注入注入二进制文件安全性代理检测代理检测反调试反调试环境检测环境检测反注入反注入二进制文件安全性代理检测代理检测反调试反调试环境检测环境检测反注入反注入二进制文件安全性代理检测代理检测反调试反调试环境检测环境检测反注入反注入反调试反调试代理检测代理检测反调试反调试环境检测环境检测代理检测代

4、理检测反调试反调试反调试反调试反调试反调试反调试反调试代理检测代理检测反调试反调试反调试、反注入抓包问题现阶段，客户端会校验服务器的证书如果直接安装charles或burp的证书，会导致校验失败，无法抓包抓包问题解决方案：patch掉相关流程，忽略校验过程Android端：构造HttpClient，设置HostnameVerifier时参数使用ALLOW_ALL_HOSTNAME_VERIFIER或空的HostnameVerifier，关闭主机名校验即可iOS端：hookTCPIOConnection即可Android：justTrustMeiOS：SSL Kill Switch代理检测安装了

5、https证书，开了绕过ssl的插件，但提示网络请求失败？代理检测环境检测ROOT检测模拟器检测越狱检测敏感数据检测IPA/APK包中的敏感包中的敏感数据数据代码中残留的敏感代码中残留的敏感URL通用解密算法参数通用解密算法参数通用加密算法参数代码中往往会出现一些包含敏感信息的常量字符串，例如：在代码中硬编码AES加密的key、iv等，或用户的VPN密码等。APP包中的敏感数据代码中敏感的URLURLScheme应用组件安全serviceactivitycontent providerbroadcast receiver第三方第三方SDKservice第三方第三方SDKAndroid 四大组件

6、四大组件的安全问题，一般检测方式就是直接通过在线工具直接进行检测FFMpegffmpeg在处理 HLS 播放列表文件的过程中，由于支持非常多的协议，如http、file、concat等等，导致可以构造恶意的url造成 SSRF 攻击和本地文件泄露FFMpegZipperDown使用第三方zip库在解压zip文件过程中没有考虑文件名中带有”././”这样的情况，从而产生了目录穿越漏洞。因此，如果一个iOS 应用下载了恶意的zip文件，并且使用ziparchive库解压，利用漏洞可以做到app container目录下的任意文件覆盖，如果覆盖了应用重要的文件会造成应用崩溃，如果覆盖了app的hot

7、patch文件则会造成代码执行。UIWebview攻击者可利用App文件下载机制将恶意文件写入沙盒内并诱导用户打开，当用户打开恶意文件时，其中的恶意代码可通过AJAX向“file:/”域发起请求，从而远程获取App沙盒内所有的本地敏感数据。运行时安全后台快照后台快照日志输出日志输出数据存储数据存储手势密码手势密码日志输出日志文件中会泄露敏感信息，包括但不限于：1.用户名2.密码3.函数调用栈4.Token、Cookies5.网络请求UR后台快照系统会对我们的App做截图展示，同时这些截图会存放在所有App都能访问到的路径内。如果这些截图中包含敏感数据，就可能会造成敏感信息泄露。通过分析系统截图

8、，可以获取到截图中包含的用户数据。手势密码数据存储数据存储在沙盒路径下的preferences目录下，存储的plist文件中，泄露了用户手机号、身份证号、密码、姓名等敏感信息通信安全加密参数可破解加密参数可破解数据传输未加密数据传输未加密通信安全通信安全破解后的参数为password:123456,deviceId:11A135BF-A481-4C8E-8BFB-4A8D26E333E1,tid:a7e1ee6f40d6502fabf4878fa0ea2584,deviceModel:iPhone6,code:,userName:风控安全大部分厂商都使用了自研或采购的第三方风控产品风 控数据包重放抵抗黑灰产薅羊毛推广流量作弊刷单批量注册、登录高价值内容恶意盗爬业务场景中的审计流程内购破解对于某理财记账APP的收费功能做破解，原理上来说就是通过对其二进制进行逆向分析，通过反编译、静态分析、调试等手段，对其收费功能在逻辑上进行修改，从而达到攻击的需求。未来展望frida是目前用于hook的轻量级的框架，可以在iOS、Android、macos、Windows上使用，主要通过将动态库注入到进程的方式进行hook。除此之外，frida也可以借鉴fuzz的原理：1、对APP中的接口进行轻量化的模糊测试工作；2、对APP中的so文件或dylib进行测试