【移动安全】中国移动自有APP安全评测指导手册

一、敏感数据暴露 4

(一) 明文传输用户名、密码和验证码等敏感信息 4

(二) 不安全的本地存储 7

(三) 泄漏后台服务器地址，导致服务器可控 8

(四) 边信道信息泄漏 8

二、鉴权机制缺陷 10

(五) 未使用有效的token机制，导致可以绕过鉴权 10

(六) 传输数据可修改，造成越权访问 11

(七) 登录设计缺陷，存在被暴力破解风险 12

(八) 利用业务逻辑缺陷制作短信炸弹 15

三、钓鱼劫持风险 17

(九) 关键页面存在钓鱼劫持风险，导致用户信息泄露 17

四、代码保护不足 18

(十) 可以重新编译打包 18

(十一) WebView漏洞 19

(十二) Web表单设计缺陷，存在SQL注入漏洞 20

五、公共组件漏洞 22

(十三) 组件Content Provider配置错误，导致数据泄漏 22

(十四) 组件Activity配置错误，导致登录页面被绕过 23

(十五) 组件Service配置错误，导致非法权限提升 24

(十六) 组件Broadcast Receiver配置错误，导致拒绝服务、非法越权 25

六、应用配置错误 26

(十七) 开启allowbackup备份权限，存在备份数据泄露风险 26

(十八) 开启Debuggable属性，存在应用信息篡改泄露风险 28

七、XcodeGhost病毒 28

(十九) 下载非官方开发工具，导致IOS版本APP被植入恶意代码 28

八、开发者证书不规范 31

(二十) 开发者证书不规范，导致开发者身份信息不明 31

下载地址：https://t.zsxq.com/YVJyBEY