随着移动互联网的快速发展,人们的生产和生活逐渐从 PC 电脑端转移到手机等移动终端,各种移动 App 如雨后春笋般涌现。由于代码的开发质量等原因, App 或多或少会有安全漏洞或因开发设计不慎引入的非法收集个人信息等合规风险。 App 网络和用户安全将受到严重威胁,合规问题可能受到监管通知,甚至有下架的风险。
因此,企业也在加大人力进行漏洞及合规风险挖掘并推进修复等相关工作,目前行业内普遍采用人工审计加自动化检测工具去发现风险。然而,随着漏洞数量的增加,以及 App 随着隐私合规等问题的出现,安全人员面临的挑战逐渐升级。因此,有效的漏洞和合规风险自动化检测工具将为安全人员的人工挖掘提供良好的补充,节省大量的时间和人力。
面对大量的字节跳动 App 在产品上线前,无恒实验室需要发现隐私合规风险,挖掘安全漏洞,保护用户数据和隐私。行业自动化无恒实验室 App 充分调查了漏洞检测工具,最终发现这些工具需要消耗大量人力来确认扫描结果,或者由于源代码不开放,无法根据具体的扫描需要进行定制开发。为更好地实现高质量漏洞和隐私合规检测,无恒实验室自主研发 appshark 发动机用于自动检测漏洞和隐私合规风险。无恒实验室选择开源发动机,成为一种公共工具,希望吸引更多的行业专家参与抛光,为企业和白帽子 App 方便风险检测。
1、appshark 的介绍
appshark 除了实现行业中广泛应用的数据流分析外,还将指针分析与数据流分析相结合,使漏洞建模更加准确,规则更加灵活,误报率和漏报率有了很大的提高。
2、appshark 能解决哪些问题?
appshark 可作为公司内部 Android App 辅助企业发现的自动检测工具 App 安全漏洞和隐私合规风险也可用作日常白帽 App 漏洞挖掘挖掘效率和产出的助手。
3、appshark 如何表现字节跳动?
appshark 加载所有规则集时,抖音、今日头条等超大规模 App,所有分析和输出结果都可以在1小时内完成。同时,如前所述,因为 appshark 引擎增加了指针分析和数据流分析,可以在此基础上实现更灵活、更准确的规则设计。在字节跳动中使用时,大多数规则的误报率和漏报率已降至5%以下。
git 开源项目地址:http://github.com/bytedance/appshark
接下来,我们将介绍如何使用常见的漏洞案例 appshark:
1、ContentProvider 漏洞为例
ContentProvider 作为Android中最常许多有经验的程序员经常写越权漏洞,这是一个非常明显的越权问题的例子。
编写扫描规则
低价空间说说赞,24小时自助下单平台网 - ks秒刷
appshark 有非常灵活的规则来指定 source 以及 sink, 详细介绍文档可参考 https://github.com/bytedance/appshark/blob/main/doc/zh/how_to_write_rules.md。写作规则最重要的是确定 source 以及 sink,外部用户可以直接或间接控制的变量通常被视为 source,明显 openFile 参数0也就是 uri 用户可以控制,而且 sink 合适的地方是一个地方ParcelFileDescriptor.open的参数0,因为如果 source 能够控制ParcelFileDescriptor.open参数0,那么基本上就可以读取任何文件了。
所以我们的规则 ContentProviderPathTraversal.json 如下:
3、通过 github 下载 config 文件夹
4、修改 config 文件
将 apkPath 修改为你想要扫描的apk绝对路径。为方便起见,可在此下载参考:https://github.com/nkbai/BypassPathTraversal/blob/main/apk/app-debug.apk指出你想要使用的规则,即 ContentProviderPathTraversal.json 文件,本文件应放置 config/rules 因为 appshark 这些规则是通过这条路径找到的。保存指定输出结果的目录默认为当前目录 out 您可以指定其他目录。
5、启动 appshark
先下载:https://github.com/bytedance/appshark/releases/download/0.1/AppShark-0.1-all.jar,然后启动。
6、查看结果
目录中的结果 out/results.json 所有漏洞列表都在文件中给出。请查看结果的详细说明https://github.com/bytedance/appshark/blob/main/doc/zh/result.md。请查看结果的详细说明https://github.com/bytedance/appshark/blob/main/doc/zh/result.md。如果您对特定的漏洞有任何疑问,可以查看 url 字段指明的HTML文件。
你应该能够处理这个漏洞 results.json 中看到,存在漏洞的函数(position),漏洞传播的数据流(target):
appshark 长期维护,欢迎使用,交流建议和贡献代码。
无恒实验室 (https://security.bytedance.com/security-lab) 它是高级字节跳动安全研究人员组成的专业攻防研究实验室,致力于护送字节跳动的产品和业务,也非常重视开源软件和系统对业务安全的影响,无恒实验室在检测公司引入的开源框架和系统的同时,也着力构建第三方框架和组件的漏洞缓解机制,将继续与行业分享研究成果,帮助企业避免安全风险,希望与行业同行合作,为网络安全行业的发展做出贡献。(点击无恒实验室持续招聘 阅读原文 链接查看细节)
扫码加入appshark微信交流群,欢迎使用反馈,群满后,欢迎添加运营微信拉群:easylifejust
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。
标签:
评论