案例分享 | 某企业金融类App安全评估项目

随着移动互联网的迅猛发展，金融类App逐渐成为用户进行支付、充值、投资等活动的核心工具。金融行业本身涉及大量敏感信息，如用户身份、账户资金、交易记录等，这些数据的安全性直接关系到用户的财产安全和公司声誉。一旦存在安全漏洞，可能导致用户信息泄露、资金损失，甚至引发大规模的金融诈骗和盗窃事件。因此，确保金融类App的安全性至关重要。

本次项目合作为客户自主开发的金融类App，应客户要求主要为满足合规之外的真实安全需求，需进行全面的安全检测，聚焦Android与iOS客户端、后端服务及小程序的渗透测试，力求发现并修复潜在的安全隐患，从而保障用户数据和资金交易的完整性与安全性。

项目需求

由于该金融类App涉及支付、充值等涉及资金交易的功能，其安全性要求必须符合行业的较高标准。客户希望通过本次安全检测，全面评估App的安全性，暴露的攻击面、客户端以及服务端的安全缺陷识别并修复各类高危漏洞，确保应用的高效运行并防止潜在安全风险。项目需求具体包括：

1.客户端安全性检测：

对Android和iOS客户端进行渗透测试，分析是否存在敏感数据泄露、加密不当、越权访问等安全漏洞。

2.服务端安全性评估：

评估后端API接口的安全性，测试是否存在常见的API漏洞，如SQL注入、身份验证缺失等，并验证第三方组件是否有较高危风险。

3.支付安全性验证：

重点测试支付流程中的加密技术、防止重放攻击、交易凭证验证、负值攻击等，确保支付信息传输过程不被篡改。

4.信息泄露检测：

展开全文

通过全面扫描和分析，检查是否存在敏感数据泄露风险，尤其是在客户端、服务端以及数据库中。

5.小程序安全检测：

针对小程序进行包解密进行代码级分析以及对小程序进行安全测试，评估其是否存在逻辑漏洞、支付漏洞、跨站脚本（XSS）等常见安全漏洞。

项目内容

我司相关工作人员与客户做了深入的需求沟通，确认目前的现状及工作开展预期，了解行业相关的政策和标准，最终确定了相关的工作计划。

需求分析与项目规划

• 与客户深入沟通，确认项目目标、需求和APP应用功能，收集相关技术文档与架构设计。

• 制定详细的渗透测试计划，明确测试范围、所用工具、时间节点及阶段目标。

渗透测试执行

信息收集与漏洞扫描：通过主动扫描、手动检查等方式收集系统信息，识别潜在的漏洞，分析服务端接口和小程序的安全性。

漏洞分析与验证：对已发现的漏洞进行深入分析，评估其严重性，并通过模拟攻击验证漏洞的可利用性。

漏洞修复与安全优化：为客户提供详细的漏洞修复方案，并对系统安全架构提出优化建议，以增强整体安全性。

报告与总结

编写详细的App安全评估报告，列出所有发现的漏洞、漏洞的风险等级、漏洞的修复建议以及改进方案，提交《App安全评估报告》。

与客户进行反馈会议，讨论报告中的关键问题，并为漏洞修复提供技术支持与后续跟进服务。

相关技术点

1. Android和iOS客户端渗透测试

静态分析：通过逆向工程对App客户端进行静态分析，检查是否存在硬编码的敏感信息（如API密钥、用户凭证、加密密钥等），以及是否存在不安全的存储方式或加密算法。

动态分析：通过frida动态调试、内存分析等手段，模拟攻击场景，评估App在运行时的安全性，检查是否存在如代码注入、权限绕过等漏洞。

网络通信安全：利用抓包工具（如Wireshark、Burp Suite等）分析客户端与服务端的通信，检查是否使用HTTP等不安全协议，确保数据传输过程中的敏感信息不会被窃取或篡改。

本地存储安全：评估App在本地存储敏感数据时是否采用了强加密方式，防止用户的敏感信息被恶意软件窃取。

2. 服务端渗透测试

API接口漏洞检测：对App所依赖的所有后端API接口进行渗透测试，识别常见的API漏洞，如SQL注入、身份验证缺失、权限控制不严格等问题，防止黑客利用这些漏洞进行非法操作。

支付接口安全性测试：重点测试支付功能的安全性，评估支付流程中的加密技术、支付凭证的校验机制、防重放攻击的防护等，确保支付过程不受攻击。

会话管理测试：检查后端是否采取了有效的会话管理措施，防止会话固定、会话劫持、会话过期等问题，确保用户的会话在传输过程中不易被窃取。

数据存储和日志安全性：评估后端数据存储是否符合安全规范，避免敏感信息明文存储，检查日志文件中是否存在过多的敏感数据记录。

3. 小程序渗透测试

接口漏洞测试：测试小程序与后台服务交互的API接口，确保接口访问权限正确、数据传输加密且不易被恶意调用。

跨站脚本（XSS）攻击测试：检查小程序是否存在跨站脚本漏洞，防止攻击者通过XSS窃取用户信息或执行恶意操作。

跨站请求伪造（CSRF）攻击测试：评估小程序是否采取了有效的防护措施，避免攻击者通过伪造请求，诱导用户执行恶意操作。

前端代码保护：分析小程序的前端代码是否容易被逆向破解，确保业务逻辑和敏感信息不被泄露。

项目成果

通过全面的渗透测试，项目团队发现了多个高危漏洞，并协助客户成功修复了这些漏洞，最终提升了金融App的安全性。具体成果包括：

短信群发漏洞：攻击者可以伪装成正常用户，向短信接口发起大量请求，造成短信轰炸漏洞。这种漏洞可能导致短信通道阻塞、短信资源被恶意消耗，甚至被灰黑产利用制作成短信轰炸机。

未授权访问漏洞：由于APP进行了部分安全限制，通过Hook方式绕过后，可以对大量的接口及会话信息进行识别。

越权访问漏洞：存在水平越权的问题。

信息泄露：小程序在API响应时泄露了部分敏感信息。

结语

本次金融类App的渗透测试不仅帮助客户发现并修复了多个严重漏洞，还通过一系列的安全建议，全面提升了App的整体安全性。通过对App客户端、服务端及小程序的安全检测，确保了交易的安全性、用户数据的保护以及整体应用的抗攻击能力，为客户提供了一个更加安全可靠的金融服务平台。

渗透测试服务

主要是模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试，目的是验证系统安全性，过程和细节产生报告给用户，由此证实用户系统所存在的安全威胁和风险，并能及时提醒完善安全策略。

代码审计

通过阅读应用系统的源代码(java、python等)来发现潜在的安全漏洞及隐患的技术手段；代码审计的技术手段，可以弥补黑盒渗透测试的未能完全覆盖的漏洞环节与安全隐患，是一种可靠性、安全性最高的修补漏洞的方法。

APP安全评估

移动应用个人信息安全检测、个人信息保护合规评估、Android移动应用安全加固、移动应用安全检测、iOS移动应用安全加固、H5移动应用安全加固、SDK加固、SO加固。

安全培训服务

按照客户要求，提供相应的安全培训，比如供应链安全培训、安全加固培训、安全体系政策培训、安全风险意识培训等。

自研率检测

帮助企业识别软件源代码的自主研发程度，从而提升项目的验收质量。

信创测试

信创兼容性认证、信创测试、信创评估

极创信息是一家专业的网络安全服务商，始终坚持"以人为本、极致创新"的企业宗旨，专注于网络安全的技术创新和服务领域，致力于为客户提供更优质、专业的网络安全服务。主营信创咨询、渗透测试、源代码审计、风险评估、安全培训、安全加固、APP安全测试、应急响应、攻防演练、安全咨询、信创测试、一站式等保合规安全解决方案及体系化安全运维服务等。