梆梆安全移动应用开发手札之玩转安全检测
相信每名移动应用开发者都希望自己的APP没有任何安全漏洞与隐患,但安全专业性的缺乏,使得开发者很难找到发现APP应用自身安全问题的有效方法。而梆梆安全所推出的移动应用安全测评云平台从安全检测、风险评估、漏洞扫描三大方面,帮助开发者对其APP应用进行全面分析,使隐藏的安全问题暴露无遗。这个虚拟安全测试平台还能在检测结束后为开发者提出解决方案,帮助其提前规避应用中可能出现的安全风险。而用户只需远程提交APP应用到该云平台,即可获得APP安全测评结果及正式报告。
梆梆安全的移动应用测评云平台即简易又智能,“简易”到开发者只要能够上网,就可以通过网络将其所编写开发的APK文件提交至测试云平台,无需其他更多操作云平台就会“智能”的开始对APK的主要安全指标自动进行全面测评。而且测评结果会包括当次的测评目的、测评项目可能产生的危害、测评项目的详细内容以及相应解决方案。通过这种自动化的测评,APP开发者可以获取当前应用面临的主要安全问题。对于安全性要求高的开发者,梆梆安全的移动应用测评云平台还能够提供人工测评项目,由专业渗透和逆向测试工程师进行更加全面和细致的安全测评。而开发者所需要做到依然仅仅是通过云平台向梆梆安全提交人工测评申请即可。
下面就让我们来看看如何玩转梆梆安全的移动应用测评云平台。
通过浏览器访问即可进入梆梆安全移动应用安全测评云平台,用户使用预分配的账户及密码便可直接登录系统使用自动测评服务。
图 1 WEB登陆界面
点击“选择文件”提交需要测评的应用APK文件。点击“开始测评”按钮,开始自动测评,测评APP进入“APP测评队列”。当APP测评完成后,在结果列表栏会出现完成通知,测评完成的APP从“APP测评队列”中进入到结果列表页面。
图 2 提交测评应用页面
在APK测评队列里能看到提交的APP程序名称、提交的APP的APK文件名称、提交的APP的版本标识、提交的APP的APK文件大小、提交APP进行测评的日期时间以及APP测评的进度状态(显示完成的项目数)。
页面左侧的图标中,点击左上图标可以切换到提交测评页面,点击 左下可以切换到结果列表页面,查看完成测评的APP结果。
如果想知道送评APP的评测详情,只需要点击“详细进度”就可以在线查看所选APP当前测评的详细进度,包括各项测评的完成详情等。
图 3 APP测评进度详情页面
各条测评项目右侧的状态图标有测评结果提示:
1.测评项目失败,存在风险或者漏洞
2.测评项目通过
3.测评项目存在异常,无法分析,需人工介入
4.展开测评项目详情
5.收起测评项目详情
当测评项目未完成时,测评项目栏不显示任何图标。当测评项目完成后,测评项目栏显示结果图标和操作图标。
图 4 App测评结果列表页面
在结果列表页里可以看到提交的APP程序名称、提交的APP的APK文件名称、提交的APP的版本标识、提交的APP的APK文件大小、提交APP进行测评的日期时间,并返回APP当前测评的结果(包括安全、不安全、存在异常),还可以查看或者下载正式的APP测评报告。测评结果中的“安全”代表测评表项全部通过,既未出现异常,也不存在风险或者漏洞,该APP判断为安全;“不安全”代表测评表项中检测到存在风险或者漏洞的项目,该APP判断为不安全;“异常”意味着测评表项在检测中出现某项结果异常,但无风险或者漏洞,该APP判断为存在异常。而对安全要求更加苛刻用户通过平台所提交的人工测评需求,会由专业渗透测试工程师进行全面安全测评,甚至可以根据用户特定需求进行定制测评。
移动应用安全测评系统提供两种导出报告的方式:在结果列表中通过“下载”按钮下载PDF格式的测评报告; 在“预览”测评结果页面中点击“导出报告”按钮下载PDF格式的测评报告。
招募:凡对梆梆安全移动应用测评感兴趣的用户,可以拨打电话以及发送邮件[email protected]联系相关工作人员。