针对i国网微应用如何进行安全渗透测试?
针对i国网微应用安全渗透测试方法
·
i国网APP应用特点:
1.通过互联网下载并安装i国网(UAT)
2.通过微信小程序“开发智能小助手”申请UAT访问权限
3.通过分配的帐号密码登录i国网app
4.i国网APP-微应用-离线部署, 注:离线包为前端资源,H5页面,通过接口与后台服务交互
客户提供的项目环境一般分为3种情况,下面逐一说明 :
情况1:已在i国网APP中发布了相关微应用,微应用接口经过“安全交互平台”与后台服务通信【默认情况】
测试策略: 客户提供的环境为i国网的UAT环境,并启用“安全交互平台”,此时由于““安全交互平台”的安全机制(APP本地先进行加密后与后台交互) ,将无法进行抓包、改包操作。 此时针对微应用的安全检测,主要通过安全人工审查的方式,查看微应用所有接口是否都经过了“安全交互平台”。
注:当“安全交互平台”机制生效时,所有安全漏洞及渗透检测项均为默认通过。 但是,为了更好进行测试,建议客户直接提供H5功能页面(不经过安全交互平台),则可以进行接口级漏洞扫描,从而发现更深层次的安全代码问题。
情况2:已在i国网中发布了微应用,i国网微应用的相关接口直接与后台服务交互【特殊情况下】
测试策略:可以直接设置代理 进行抓包测试
情况3:客户只提供了微应用H5页面,未在i国网app中进行部署。
测试策略: 可直接抓包进行测试,另外,与客户沟通,在微应用与i国网集成后,再进行一次"安全交互平台"机制是否有效进行一次确认就可以。
关于i国网APP- 安全交互平台介绍,可加入 知识星求:第三方软测俱乐部(cma/cnas)
更多推荐
已为社区贡献1条内容
所有评论(0)