作者 | 漏洞404
编辑 | L
[漏洞404] 学习文章
网络安全需要你我共同努力
如需转载,请联系平台
APP作为个人信息处理的重要载体,已成为监管重点,如不履行隐私合规义务,将会面临行政处罚与民事责任的双重后果。APP运营者需要主动合规、实质合规,以满足日益严格的监管要求。
随着《2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过》的《中华人民共和国数据安全法》的颁布,那么对数据的安全性就加大了更强的审核,那么就需要测试客户端程序提交数据给服务端时,密码、收款人、手机号码、邮箱、银行卡、密码、姓名信息等关键字段是否进行了加密,防止恶意用户嗅探到用户数据包中的密码等敏感信息,造成敏感信息泄露。
模拟器【夜神、逍遥...】
BurpSuite
Fiddler ...
BurpSuite配置代理:
打开 BurpSuite【中文版】 抓包工具,在 代理->代理设置 选项卡中,在Tools Proxy 中点击 添加 添加监听端口,ip 地址选择当前网卡地址,端口填写8888,点击 OK 保存:
逍遥模拟器配置代理
打开逍遥模拟器进入设置->网络与互联网:
点击WLAN->再点击进入网络里面
在点击小笔,然后输入与BurpSuite配置代理的ip端口一致的内容
点击保存即可
打开需要测试的app进行抓包查看是否对关键字进行加密
中风险:
姓名、邮箱、手机号码、银行卡、身份证、住址...等相关信息未进行加密。
无风险:
关键参数已进行加密处理且不能轻易进行解密。
在进行网络传输时,对关键参数数据进行加密处理,建议使用 RSA 等加密算法。
如果你想了解更多网络安全相关知识
请扫描二维码关注公众号获得更多资讯
原文始发于微信公众号(漏洞404):app客户端评估- 关键字段加密
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论