行動應用App基本資安檢測參考步驟 Android 版 V1 · PDF file資安檢測基準 )...
Transcript of 行動應用App基本資安檢測參考步驟 Android 版 V1 · PDF file資安檢測基準 )...
App
AndroidV1.0
106 02
i
1. .................................................................................................................. 1
2. .................................................................................................................. 1
3. .................................................................................................................. 1
4. .................................................................................................................. 3
4.1.1.1.2.
.................................................................................. 4
4.1.1.3.1. .......................... 5
4.1.2.1.1. ................. 6
4.1.2.1.2. ................. 8
4.1.2.3.1. ................. 9
4.1.2.3.2. ............... 11
4.1.2.3.4. ....... 12
4.1.2.3.5.
............................................................................................ 13
4.1.2.3.6.
.................................................................................... 14
4.1.2.3.7. ............................ 15
4.1.2.4.1.
........................................................ 16
4.1.2.5.1.
............................................................................................ 17
4.1.2.5.2. ........... 18
4.1.2.5.3.
............................................................................................................ 20
4.1.3.1.1. ........................ 22
4.1.3.1.2. .................... 23
4.1.3.2.1. ........................ 24
ii
4.1.3.2.2. .................................... 25
4.1.4.1.1. ........... 26
4.1.4.1.2. .................................................... 27
4.1.4.2.1. ........................ 28
4.1.4.2.2. ........................................ 29
4.1.4.2.3.
................................................................................................ 30
4.1.4.2.4.
............................................................................................................ 31
4.1.5.1.1. ................................................ 32
4.1.5.1.2. .................................................... 33
4.1.5.3.1.
4.1.1. .................................. 34
4.1.5.4.1. ............... 35
4.1.5.4.2. .................................... 36
iii
1 ................................................................................... 3
iv
1
1.
App
App
2.
App
App
3.
SSL/TLS
App App
App
2
App
App REF-1.
3
4.
Android App
1
1
App4.
5 4.1.x.y.z4.1.
x.y.z
App4.
App4.
4
4.1.1.1.2.
4.1.1.1.2
App
App
1 App
2
3
4
5
App
5
4.1.1.3.1.
4.1.1.3.1
App
App
1 App
2
3
4
5
App
6
4.1.2.1.1.
4.1.2.1.1
Hookwireshark
App
1
2
3
4
5 3
6 3
7 1
7
8
8
4.1.2.1.2.
4.1.2.1.2
Hookwireshark
App
1
2 1
3
4 2
4.1.2.1.1
9
4.1.2.3.1.
4.1.2.3.1
SQLite HookLog
App
1
2
3
4
5 SQLite
SQLite
10
2
6
2
7 5 6
8 5 6
9 5 6
11
4.1.2.3.2.
4.1.2.3.2
App
1
2
3
4 3
5 4
4.1.2.3.1
12
4.1.2.3.4.
4.1.2.3.4
App
1 4.1.2.3.1
2 1
13
4.1.2.3.5.
4.1.2.3.5
Javanotepad++, jd-gui, jd-cli,
apktool, dex2jar, jadx, find
App
1
2
3 AES
4 Triple DES
5 SHA-256
4.1.2.3.4
14
4.1.2.3.6.
4.1.2.3.6
1 4.1.2.3.1
2 4.1.2.3.1
4.1.2.3.4
15
4.1.2.3.7.
4.1.2.3.7
Hard Code
Hard Code
Hook
1
2
3
4
CWE Hard codeCWE-259CWE-321
CWE-798
16
4.1.2.4.1.
4.1.2.4.1
wireshark
1
2
3
4
5
6 SSL
TLS IP
7 SSL
TLS
8 SSL
TLS
17
4.1.2.5.1.
4.1.2.5.1
notepad++, jd-gui, jd-cli, apktool, dex2jar
App
1
2
3
4
1
2
3
4
18
4.1.2.5.2.
4.1.2.5.2
notepad++, jd-gui, jd-cli, apktool, dex2jar
App
1
2
3
4
5
1
2
3
4
5
19
20
4.1.2.5.3.
4.1.2.5.3
FileProvider
notepad++, apktool
App
1 Android
Manifest.xml
2 AndroidManifest.xml provider
android:authorities package name
3 res/xml/filepaths.xml files-path
4 files-path
1
2
3
4
21
22
4.1.3.1.1.
4.1.3.1.1
1
2
23
4.1.3.1.2.
4.1.3.1.2
1
2
3
24
4.1.3.2.1.
4.1.3.2.1
1
2
3 2
25
4.1.3.2.2.
4.1.3.2.2
1
2
3
4
26
4.1.4.1.1.
4.1.4.1.1
App
1
2
3
27
4.1.4.1.2.
4.1.4.1.2
1
2
28
4.1.4.2.1.
4.1.4.2.1
BurpHook
1
2
4.1.2.1.1
3
J2EE,
ASP .NET, PHP
4Entropy
5
Base64ASCII Unicode
MD5SHA-1 SHA-256
Rainbow Table
6
30
29
4.1.4.2.2.
4.1.4.2.2
SSL/TLS
BurpHook
MiTM
1 4.1.2.4.1 SSL TLS
MD5SHA1 SHA256
2
3 4.1.2.4.1
SSL TLS IP
4
5 MiTM
SSL TLS
6
30
4.1.4.2.3.
4.1.4.2.3
SSL/TLS
wireshark
1 4.1.2.4.1 SSL TLS
2 1
3 2
4.1.4.2.4
1.
2.
3.
31
4.1.4.2.4.
4.1.4.2.4
SSL/TLS
BurpHook
MiTM
4.1.2.1.1.
4.1.4.2.2 4.1.4.2.3
32
4.1.5.1.1.
4.1.5.1.1
1
2permission
3
4
5
6
33
4.1.5.1.2.
4.1.5.1.2
App
1
2 CVE CWE/SANS TOP 25
34
4.1.5.3.1.
4.1.1.
4.1.5.3.1
4.1.1.
App
1
2 CVE CWE/SANS TOP 25
App
35
4.1.5.4.1.
4.1.5.4.1
App
1
2
4.1.2.1.1
3
4.1.2.1.1
36
4.1.5.4.2.
4.1.5.4.2
App
notepad++, jd-gui, jd-cli, apktool, dex2jar, hook , MiTM
App
1
2
3
1
2
payload