写点什么

解决安全漏洞扫描,就靠它了

发布于: 2021 年 08 月 12 日
解决安全漏洞扫描,就靠它了

导读:随着互联网移动应用开发技术的成熟,应用市场上至今不断涌现着各行业各类型的移动 App,帮助人们在日常生活和工作中解决问题,提升人们的生活效率。众多应用在为人们提供方便的同时,软件应用中的用户数据和信息安全隐患让人们焦虑,逐渐成为大家关注的重点。


自互联网兴起到成熟至今,利用软件漏洞攻击的网络事件频发,因此产生的损失和负面影响也日趋严重。每年全球因漏洞导致的经济损失巨大并且在逐年增加,显而易见的是,漏洞已经成为互联网安全的头部危害之一。各大企业和软件开发服务商,也逐渐开始重视软件安全的重要性,期望通过规避风险带来效益。


早在 2016 年,百度 MTC 就已经集成了百度安全扫描的能力,并正式推出为广大客户和软件开发服务商提供的安全漏洞扫描服务。如今,经历了多年的市场验证和技术沉淀,百度 MTC 重新升级了安全漏洞扫描服务,旨在为客户提供更加全面、深度的安全检测服务,上线后经过多次客户体验和反馈,得到了客户的好评和认可。

一、百度 MTC×安全检测,全新升级服务

在应用安全检测方面,百度 MTC 针对以下企业客户所面临的需求场景和痛点,全新升级了安全漏洞扫描服务:


l 应用迭代快:产品迭代快,应用版本发布频繁,没有足够的精力去规避在应用迭代过程中的安全隐患,也无法保障应用发布后的安全性;

l 检测数量多:需要测试的软件多,导致安全检测管理问题难以发现,无法统一确保开发的众多软件均符合行业安全规范;

l 经验不足:没有足够专业的人才或人力投入,无法检测发现深层次的软件安全漏洞,且无法给出专业的修复建议帮助开发者快速定位问题,导致无法达到预期的交付效果。

二、安全漏洞扫描升级后具备哪些能力?

基于百度安全检测能力,升级后的安全检测服务,可满足对 Android、iOS 应用内部存在的安全风险进行检测。


Android 应用检测功能架构


IOS 应用检测功能架构

在应用安全检测的能力方面,采用了 4 大核心技术:

l 静态检测:以预设的安全问题特征为指导,通过静态的语法分析、控制流/数据流分析等技术,对应用的代码、配置、资源进行分析,发现潜在的安全风险;

l 动态检测:基于稳定性高、可扩展性强的硬件虚拟化技术,通过模拟真实攻击场景,检测应用对恶意攻击的防范能力;

l 内容检测:采用人工智能技术对应用内的图像、文本库进行检测,排查涉政暴恐、色情污秽等违规违法内容;

l 深度检测:自动化破解应用部分保护措施,发现深层次安全问题;


此次能力升级,在检测服务方面,可提供 CVE 漏洞、配置风险、密钥安全、敏感信息泄露、代码安全、应用安全等检测,可快速识别并精准定位漏洞风险类别;自动化生成可视检测报告,对各级别漏洞风险提供专业、详细的修复建议。


同时,APK 文件检测可覆盖病毒检测、广告检测以及权限检测等基本的漏洞检测。



三、核心检测能力中,动态检测的技术方案是什么?

App 动态检测通过云手机模拟真实攻击场景,检测 app 对恶意攻击的防范能力,可以发现应用运行时的风险,加强检测深度。百度云手机动态检测方案的优势主要有以下几点:

  1. 效率高,环境易清理,检测速度更快、更准确

  2. 可实时扩容,稳定响应大规模并发

  3. 每个检测项均以插件形式开发,易扩展,可根据业务场景动态加载检测项


整体架构图

动态检测主要分为三个大模块:· agent:用于接受的检测指令,可用于远程操作、监控 app;· server:管理调度动态检测使用的 android 设备,转发扫描端对 agent 下发的指令;· 扫描端:向 Agent 发起具体的检测任务;

Agent

Agent 分为两个部分:普通权限的 App(agent app)和 root 权限启动的系统进程(core service)。agent app 用于接受 server 转发过来的各种检测指令,而 core service 通过 binder 为 agent app 提供高权限操作(调用系统隐藏 api、以 root 权限创建进程)。

Agent 能为扫描端提供如下能力:

  1. 启动、重启、关闭指定 app

  2. 监控指定 app 的运行状态

  3. 模拟点击

  4. 以 root 权限执行 shell 命令

  5. 上传/下载文件

  6. 调用系统隐藏 API

Server

agent 启动后会主动连接到 server,server 会对所有的设备进行管理、调度,当扫描端连接到 server 后,server 会调度可用的设备给扫描端,然后转发扫描端发送的检测指令。

扫描端

扫描端主要是一个 Python SDK,每个检测项目均以插件的形式加载。借助该 SDK 和 Agent,每个检测插件可以使用如下能力:

  1. 上传/下载任意文件到 Android 设备

  2. 远程反射调用 Agent 中的任意 java 方法

  3. 远程以 root 权限在 Android 设备中创建进程

  4. 远程调用 Android 设备中的系统隐藏 API

借助上述能力,可以轻松的开发各种检测插件。

四、这么专业的检测服务需要哪些流程呢?



整个应用检测流程非常便捷,只需按照平台要求上传被检测文件(未加固的应用)即可自动检测,检测完成后便可呈现测试报告。检测完成最快只需半小时即可出结果,可预览线上报告,同时支持下载线下 PDF 报告。


赶快点击“https://mtc.baidu.com/site/app?from=22-FromDaoHang_7-MTC_8-Manual#safe”下单体验吧!如果想了解更多测试服务,欢迎登录https://mtc.baidu.com。


阅读原文:

全新的安全漏洞扫描解决方案,百度MTC让APP安全防护能力更强

发布于: 2021 年 08 月 12 日阅读数: 2
用户头像

关注百度开发者中心,收获一手技术干货。 2018.11.12 加入

汇聚百度所有对外开放技术、平台和服务资源,提供全方位支持,助力开发者加速成功,实现开发者、消费者和百度三方共赢。https://developer.baidu.com/

评论

发布
暂无评论
解决安全漏洞扫描,就靠它了