移动APP背后的安全问题

介绍了如何反编译APP并在源码中寻找隐藏的URL，API接口等资产信息，以及如何通过Burp Suite知名渗透测试套件抓包对APP的服务端进行漏洞检测现在已进入移动互联网时代，吃喝玩乐、办公支付等等各种应用都在抢占移动APP市场，由于安全无处不在的本质，在多年前就已经有少数人在研究移动APP的中木马、钓鱼等等，但很少有人想到移动APP安全跟WEB安全的关系，目前移动APP大多都有跟远程服务器交互，而且基本都是以WEB API服务的方式，这使得移动APP安全跟WEB安全绑的非常紧。但往往很多漏洞都发生在这些API接口上，再加上目前这块不是很受关注，导致大多数移动APP都没有在这块架设一些CDN、WAF、IPS等设备，使得存在漏洞的API接口完全裸露在互联网中。