解决安全漏洞扫描,就靠它了
导读:随着互联网移动应用开发技术的成熟,应用市场上至今不断涌现着各行业各类型的移动 App,帮助人们在日常生活和工作中解决问题,提升人们的生活效率。众多应用在为人们提供方便的同时,软件应用中的用户数据和信息安全隐患让人们焦虑,逐渐成为大家关注的重点。
自互联网兴起到成熟至今,利用软件漏洞攻击的网络事件频发,因此产生的损失和负面影响也日趋严重。每年全球因漏洞导致的经济损失巨大并且在逐年增加,显而易见的是,漏洞已经成为互联网安全的头部危害之一。各大企业和软件开发服务商,也逐渐开始重视软件安全的重要性,期望通过规避风险带来效益。
早在 2016 年,百度 MTC 就已经集成了百度安全扫描的能力,并正式推出为广大客户和软件开发服务商提供的安全漏洞扫描服务。如今,经历了多年的市场验证和技术沉淀,百度 MTC 重新升级了安全漏洞扫描服务,旨在为客户提供更加全面、深度的安全检测服务,上线后经过多次客户体验和反馈,得到了客户的好评和认可。
一、百度 MTC×安全检测,全新升级服务
在应用安全检测方面,百度 MTC 针对以下企业客户所面临的需求场景和痛点,全新升级了安全漏洞扫描服务:
l 应用迭代快:产品迭代快,应用版本发布频繁,没有足够的精力去规避在应用迭代过程中的安全隐患,也无法保障应用发布后的安全性;
l 检测数量多:需要测试的软件多,导致安全检测管理问题难以发现,无法统一确保开发的众多软件均符合行业安全规范;
l 经验不足:没有足够专业的人才或人力投入,无法检测发现深层次的软件安全漏洞,且无法给出专业的修复建议帮助开发者快速定位问题,导致无法达到预期的交付效果。
二、安全漏洞扫描升级后具备哪些能力?
基于百度安全检测能力,升级后的安全检测服务,可满足对 Android、iOS 应用内部存在的安全风险进行检测。
Android 应用检测功能架构
IOS 应用检测功能架构
在应用安全检测的能力方面,采用了 4 大核心技术:
l 静态检测:以预设的安全问题特征为指导,通过静态的语法分析、控制流/数据流分析等技术,对应用的代码、配置、资源进行分析,发现潜在的安全风险;
l 动态检测:基于稳定性高、可扩展性强的硬件虚拟化技术,通过模拟真实攻击场景,检测应用对恶意攻击的防范能力;
l 内容检测:采用人工智能技术对应用内的图像、文本库进行检测,排查涉政暴恐、色情污秽等违规违法内容;
l 深度检测:自动化破解应用部分保护措施,发现深层次安全问题;
此次能力升级,在检测服务方面,可提供 CVE 漏洞、配置风险、密钥安全、敏感信息泄露、代码安全、应用安全等检测,可快速识别并精准定位漏洞风险类别;自动化生成可视检测报告,对各级别漏洞风险提供专业、详细的修复建议。
同时,APK 文件检测可覆盖病毒检测、广告检测以及权限检测等基本的漏洞检测。
三、核心检测能力中,动态检测的技术方案是什么?
App 动态检测通过云手机模拟真实攻击场景,检测 app 对恶意攻击的防范能力,可以发现应用运行时的风险,加强检测深度。百度云手机动态检测方案的优势主要有以下几点:
效率高,环境易清理,检测速度更快、更准确
可实时扩容,稳定响应大规模并发
每个检测项均以插件形式开发,易扩展,可根据业务场景动态加载检测项
整体架构图
动态检测主要分为三个大模块:· agent:用于接受的检测指令,可用于远程操作、监控 app;· server:管理调度动态检测使用的 android 设备,转发扫描端对 agent 下发的指令;· 扫描端:向 Agent 发起具体的检测任务;
Agent
Agent 分为两个部分:普通权限的 App(agent app)和 root 权限启动的系统进程(core service)。agent app 用于接受 server 转发过来的各种检测指令,而 core service 通过 binder 为 agent app 提供高权限操作(调用系统隐藏 api、以 root 权限创建进程)。
Agent 能为扫描端提供如下能力:
启动、重启、关闭指定 app
监控指定 app 的运行状态
模拟点击
以 root 权限执行 shell 命令
上传/下载文件
调用系统隐藏 API
Server
agent 启动后会主动连接到 server,server 会对所有的设备进行管理、调度,当扫描端连接到 server 后,server 会调度可用的设备给扫描端,然后转发扫描端发送的检测指令。
扫描端
扫描端主要是一个 Python SDK,每个检测项目均以插件的形式加载。借助该 SDK 和 Agent,每个检测插件可以使用如下能力:
上传/下载任意文件到 Android 设备
远程反射调用 Agent 中的任意 java 方法
远程以 root 权限在 Android 设备中创建进程
远程调用 Android 设备中的系统隐藏 API
借助上述能力,可以轻松的开发各种检测插件。
四、这么专业的检测服务需要哪些流程呢?
整个应用检测流程非常便捷,只需按照平台要求上传被检测文件(未加固的应用)即可自动检测,检测完成后便可呈现测试报告。检测完成最快只需半小时即可出结果,可预览线上报告,同时支持下载线下 PDF 报告。
赶快点击“https://mtc.baidu.com/site/app?from=22-FromDaoHang_7-MTC_8-Manual#safe”下单体验吧!如果想了解更多测试服务,欢迎登录https://mtc.baidu.com。
阅读原文:
版权声明: 本文为 InfoQ 作者【百度开发者中心】的原创文章。
原文链接:【http://xie.infoq.cn/article/d4b18b2604394848fe8ab1d32】。文章转载请联系作者。
关注百度开发者中心,收获一手技术干货。 2018.11.12 加入
汇聚百度所有对外开放技术、平台和服务资源,提供全方位支持,助力开发者加速成功,实现开发者、消费者和百度三方共赢。https://developer.baidu.com/
评论