CAPPVD 漏洞库运营机制分享
爱加密
山石
汽车APP常见漏洞威胁
梆梆
美团
金融类APP安全分析
蛮犀车联网安全
链安科技自动化 APP 风险扫描、漏洞发现和涉诈分析
海云安-软件供应链安全
北京雪诺科技有限公司-雪诺凉冬实验室
360小程序/公众号漏洞挖掘
APP生态治理平台

CAPPVD第5期移动互联网APP产品安全漏洞技术沙龙

CAPPVD 漏洞库运营机制分享

《管理规定》第十条指出：任何组织或者个人设立的网络产品安全漏洞收集平台，戍当向业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台，并对通过备案的漏洞收集平台予以公布。

2022年10月，工业和信息化部正式印发关于《网络产品安全漏洞收集平台备案管理办法》的通知，作为《网络产品安全漏洞管理规定》的配套规定，《管理办法》对网络产品安全漏洞收集平台的备案、信息变更，注销等程序提出了系统要求，并于2023年1月1日施行。

为贯彻落实《网络安全法》《网络产品安全漏洞管理规定》，做好移动互联网APP产品安全漏洞管理工作，构建协同联动普惠共享的生态圈，受工业和信息化部网络家全管理局委托，中国电子信息产业发展研究院承担了移动互联网APP产品安全漏洞库(CAPPVD)建设运营任务。

依据《网络产品安全漏洞管理规定》，CAPPVD漏洞库面向网络产品提供者和网络运营者，以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人开展移动互联网APP产品安全漏洞收集、验证、修补等相关工作。

网络运营者
- 接收：应当建立健全网络产品安全漏洞信息接收渠道并保持畅通，留存漏洞信息接收日志不少于6个月。
- 修补：应当立即采取措施，及时对安全漏洞进行验证并完成修补。
网络产品提供者
- 接收：应当建立健全网络产品安全漏洞信息接收渠道并保持畅通，留存漏洞信息接收日志不少于6个月。
- 验证：应当立即采取措施并组织对安全漏洞进行验证评估，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。
- 报送：应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
- 修补：应当及时组织对网络产品安全漏洞进行修补，对于需要产品用户（含下游厂商）采取软件、固件升级等措施的，应当及时将网络产品安全漏洞风险及修补方式告知可能受到影响的产品用户，并提供必要的技术支持。

自APP漏洞库运营以来，先后面向社会公开遴选了30家在移动互联网安全领域具有较高水平的技术支撑单位，以及3家漏洞治理合作单位（小米、华为、腾讯），联合行业力量支撑移动互联网APP产品安全漏洞管理工作。

社会影响：

截止目前CAPPVD漏洞库注册企业达1200余家
白帽子用户近1200人
收录漏洞累积近11000个
下发漏洞通知达4400份
下发漏洞通报和漏洞预警超60份
下发高危漏洞处置通知49份
协助部网安局商请属地通信管理局依法处置12款存在高危漏洞的APP产品
协助部网安局约谈相关产品提供者

处置流程

漏洞通知：CAPPVD漏洞库将漏洞存在情况和处理要求告知APP开发者。
漏洞处置：CAPPVD下发高危漏洞处置单，要求开发者反馈处置结果处置单抄送至部网安局、属地通信管局。
漏洞报送：部网安局将漏洞情况通报至省级通信管理局，漏洞信息上报至部网安局、属地通信管局。
责令整改：省级通信管理局采取下发责令整改通知书、约谈够方式督促开发者整改漏洞。
行政处理：对于相关产品提供者未按要求落实整改的，省级通信管理局依规进入行政处罚程序。

工作内容：

支撑单位遴选：开展2024年CAPPVD漏洞支撑单位遴选工作，汇聚各方力量共同维护移动I联网APP产品安全。
优秀案例征集：开展2024年移动互联网APP产品安全漏洞治理优秀案例征集工作，树立典范，推动APP产品安全源洞治理工作趋于规范化。
移动安全人才培养：开展移动应用安全人才培养工作，提升个人漏洞技术水平，增强网络产品提供者安全开发和漏洞修复能力，消控行业漏洞风险。
APP漏洞检测：针对头部1000款APP产品实施漏洞积分奖励激励，到今年年末，漏洞积分排名前五的支撑单位，直接晋级明年的四星支撑单位。

CAPPVD漏洞库支撑单位能力评定办法一评定标准

漏洞接收：CAPPVD漏洞库平台接收漏洞的范围包括APP、公众号、小程序相关移动互联网APP产品存在的未公开或已公开漏洞。
评分标准：根据 APP 产品的漏洞危害程度将漏洞危害等级分为【超危】、【高危】、【中危】、【低危】、【无】五个等级。 CAPPVD 漏洞库结合漏洞的严重程度、利用难度、APP 下载量等综合因素，为支撑单位给予相应评分。
1. 加分项： 1、重点行业知名企事业单位+50分(如电信互联网行业的电信、联通、移动和知名互联网企业)，其他行业以此类推。 2、应用商店上架情况 (1)在知名应用商店(小米、华为、应用宝、苹果、谷歌)上架的产品+2 分 (2)在其他应用商店上架的产品+1分 (3)应用商店未上架+0分 3、提交同一家APP产品提供者的10款及以上数量的不同APP产品的同类型漏洞+20分
2. 专项任务对于专项任务(包括但不限于APP安全检测、漏洞技术研究等)响应积极性强，且工作完成质量高的支撑单位进行激励奖励。激励奖励办法：每项任务累计加50-300分，年底计算综合得分。根据工作任务完成效果专项工作年度积分排在前2名的支撑单位，在本年度年末可获得由CAPPVD授予的特别感谢信
3. 重大漏洞发现若支撑单位发现重大APP安全漏洞，第一时间和CAPPVD沟通并上报至漏洞库平台经过CAPPVD研判且被上报至工信部网安局后，联合CAPPVD撰写洞技术专报并跟踪后续漏洞处理情况。该漏洞若得到工信部网安局响应，则对该支撑单位进行激励奖励。激励奖励办法：向工信部网安局表扬该支撑单位，重点突出该单位所作贡献，对其支撑能力进行升级(升级程度依据漏洞影响力决定)。同时，额外奖励该单位500-1000积分。
4. 公众号文章合作若支撑单位向“APP安全”微信公众号提供移动安全方面的原创文章素材，经过“APP安全官微审核并公开发布后，支撑单位在年底支撑能力考核中，可按发布篇数获得累计加分，每发布-篇可获得50积分。
5. 其他支撑各技术支撑单位积极主动上报威胁情报(如社会热点APP 相关威胁情报)视完成时效性和有效性情况加分。协助 CAPPVD 漏洞库通知、通报、约谈移动互联网 APP产品提供者，协办相关赛事、培训、沙龙，攻关安全技术，编制相关标准等按照实际贡献酌情加分。

爱加密

App超越网站成为提供互联网服务的主角我国 App 数量稳步增长，而网站数量自 2018 年起持续下降。截至2023年年底，我司移动应用安全大数据平台收录全国Android应用共计453万款，i0S应用共计295万款，微信公众号621万个，微信小程序360万个。2023年年度，全国总计新更新新上架的应用共计27万款。

移动Android APP安全漏洞分类(该数据来源于爱加密攻防团队)

程序/代码安全

源码反编译安全
代码混淆安全
签名校验安全
二次打包安全
SO文件安全
H5代码安全–动态缓存泄露H5代码，/data/data/包名/files自录下的缓存文件。
APK升级机制检测

应用及常见组件安全

Debug属性安全
防调试检测
防c层注入检测
防hook框架检测
防Root环境检测
防模拟器检测

数据安全

敏感信息内存加密
防截屛检测
Logcat日志输出检测
SharedPreferences数据储存安全检测
Sqlite数据储存安全检测
HTTP与HTTPS使用安全检测
安全键盘使用检测
防界面劫持检测
allowBackup备份风险

业务风险及安全漏洞

传输数据包重放风险
传输数据包重要业务数据泄露
越权风险：新设备短信验证码登录授权、人脸识别身份校验绕过
弱密码风险
弱密码风险登陆密码爆破风陷
弱密码风险会话管理机制风险
弱密码风险身份验证绕过风险
弱密码风险应用升级/自更新风险

安全防护方法建议

技术测试层面

漏洞扫描与渗透测试：利用自动化工具对移动应用和设备进行代码扫描、端口扫描、漏洞扫描等，及时发现潜在的漏洞问题：采购第三方渗透测试服务漏洞挖掘服务，针对于核心资产提供专业级漏洞发现与解决。
安全加固：对应用代码进行加固处理，如反编译保护、代码加固、防动态调试等，增加攻击者分析和算改的难度；通过第三方安全SDK来增强应用的运行时环境安全检测等。
数据加密与传输保护：采用强加密算法对敏感数据进行加密存储和传输确保数据在存储和传输过程中的安全性；使用SSL/TLS等安全协议建立加密通道，保护数据传输过程中的机密性和完整性。
身份认证与访问控制：要求用户设置强密码，并定期更换密码，增加账户安全性；实施细粒度的访问控制策略，限制用户对系统资源的访问权限，防止未经授权的访问。

管理措施层面

安全培训与教育：通过安全教育和培训，提升用户对移动安全漏洞风险的认知和防范意识；对移动应用开发者进行安全开发培训，确保他们了解最新的安全漏洞和防御措施。
安全开发规范：明确移动应用的安全要求和规范，包括数据加密、身份认证、访问控制等方面的要求；对移动应用进行定期的安全审核和评估，确保应用符合安全策略和规范要求。
应急响应与处置：制定详细的应急响应预案，明确安全事件的处理流程和责任人；一旦发现安全漏洞或安全事件，立即启动应急响应机制，迅速采取措施进行处置和修复。
第三方安全服务：与专业的安全机构合作，引入第三方安全测试和评估服务，提升移动应用的安全及时发现潜在的安全性；利用专业的安全监控和预警系统，对移动应用进行持续监控和预警，及时发现潜在的女全威胁。

山石

山石安研院移动安全实验室负责人刘洋

“底层”安全研究员
研究方向：逆向工程，工业控制系统安全，移动安全，二进制漏洞挖掘网络交全攻防竞赛
国家网络安全学院二进制漏洞挖掘移动安全课程讲师
曾挖掘过多个工业控制系统及APP漏洞

《岩谈》杂志、山石CTF训练营

实战化白帽人才能力图谱

基础能力

Web漏洞利用：命令执行，SQL注入，代码执行，逻辑漏洞，解析漏洞，信息泄露，XSS，配置错误，弱口令，反序列化，文件上传，权限绕过。
基础安全工具：Burp Suite，Sqlmap，AppScan，AWVS，Nmap，Wireshark，MSF，Cobalt Strike。

进阶能力

Web漏洞挖据：命令执行，SQL注入，代码执行，逻辑漏洞，解析漏洞，信息泄露，XSS，配置错误，弱口令，反序列化，文件上传，权限绕过。
Web开发与编程：Java，PHP，Python，C/C++，golang。
编写PoC或EXP等利用：web漏洞，智能硬件/IoT漏洞。
社工钓鱼：开源情报收集，社工库收集，鱼叉邮件，社交钓鱼。

高阶能力

系统层漏洞利用与防护：SafeSEH，DEP，PIE，NX，ASLR，SEHOP，GS。
系统层漏洞挖掘：代码跟踪，动态调试，Fuzzing技术，补丁对比，软件逆向静态分析，系统安全机制分析。
身份隐藏：匿名网络(如Tor)，盗取他人ID/账号，使用跳板机，他人身份冒用。
内网渗透：工作组、域环境渗透，模向移动，内网权限维持/提权，数据窃取，免杀。
高级安全工具：IDA，Ghidra，binwatk，OllyDbg，Peach fuzzer。
编写PoC或EXP等高级利用：Android，iOS，Limux，macOS，网络安全设备。
掌握CPU指令集：ARM，x86，MIPS，PowerPC。
团队协作：行动总指挥，情报收集，武器装备制造，打点实施，社工钓鱼，内网渗透。

汽车APP常见漏洞威胁

权限信息泄露
地理位置敏感信息泄露
人工智能聊天记录配置文件信息泄露
用户通讯录记录数据泄漏
数据库SQL敏感信息泄露
权限提升，普通用户直接升级为root用户
敏感信息泄露：获取车辆监控视频敏感信息

移动端APP漏洞威胁涉及生活中的方方面面

多款路由器远程控制
多款摄像头远程控制
多款打印机远程控制
多款运营商光猫远程控制
某米台灯远程控制
多款共享单车免费开锁
多款智能蓝牙WIFI指纹声波门锁破解
多款智能保险箱柜芯片问题瞬时破解
指纹认证破解某加密U盘，读取加密数据
破解某品牌网联车ECU CAN OBD远程控制
无人售货柜/无人商店远程修改数据

安全竞赛到移动App安全能力要求

Apk文件结构：Apk文件的文件结构，各文件夹文件内容的分析
逆向分析工具：常用逆向分析工具：使用逆向工具实战
Smali代码分析：中间层字节码分析；Apk逆向分析“破解”实战
Arm汇编：Arm汇编基础；SO层分析实战
Frida技术：了解Hook技术，掌握Frida基础：Frida脚本利用实战
软件加固分析：常见Apk加固方案学习：论文DexHunter学习
软件脱壳实战：常见软件加固方案的脱壳，软件脱壳实战
隐私合规测试
App漏洞挖掘
常见隐私合规相关测试项

移动安全人才培养体系的探索

移动安全人才培养
二进制安全
逆向分析
混淆加密
反调试
Root绕过
Frida Hook
模拟执行
H5、API接口测试
软件加壳
龙芯杯信创安全比赛策划与出题
统信UAPP合作支撑，获得漏洞致谢、年度最佳支撑单位；
信创政务产品安全漏洞专业库支撑合作：
通用网络产品安全漏洞专业平台CNVDB第一批技术支撑单位；
入选证券基金行业信息技术应用创新联盟成员单位；
信创安全发展蓝皮书一系统安全分册重磅发布；
天网杯信创漏洞挖掘比赛，成功破解某国产数据库与某国产杀软；
网络安全众测平台开源软件(欧拉)网络安全攻防大赛第一名，p·网络安全众测测平台开源软件(麒麟)网络安全攻防大赛第一名。

梆梆

AI脱壳

特征点提取

静态分析特征点：

代码结构特征
- 方法致量、类致量、代码行数
- 类继承关系和方法调用图
- 类和方法的名称、修饰符(如pubtic、private)
字符串特征
- 可疑字符串(如域名、URL、IP地址)
- 编码或加密的字符串模式
资源特征
- 资源文件(如图片、XML配置文件)的名和路径
- 资源文件中的特定关健字或模式
权限特征
- 应用请求的权限列表(如读取联系人、访问网络、定位)
- 权限的使用频率和场景
Manifest文件特征
- 包名、版本号、权限声明
- 四大组件(Activity、Service、BroadcastReceiver、ContentProvider)声明
代码混淆特征
- 混淆后的类名、方法名、变量名
- Proguard配置文件的规则和模式
库特征
- 引用的第三方库和SDK
- 库版本号和调用情况
Dex文件特征
- Dex文件数量和大小
- Dex文件中的类和方法数量

动态分析特征点：

系统调用特征
- 系统调用序列和频率
- 关键系统调用(如文件读写、网络请求、进程创建）
网络行为特征
- 网络请求的URL、IP地址、端口号
- 网络传输的效据包内容和模式
文件操作特征
- 文件创建、读取、写入，删除操作
- 文件路径和文任类型
进程和线程特征
- 应用创建的进程和线程数量
- 进程和线程的生命周期和状念变化
日志输出特征
- 应用生成的日志信息
- 日志中的关键字和模式
内存特征
- 应用的内存使用情况
- 动态内存分配和释放行为
动态加载特征
- 动态加载的库文件(如.S0文件)的路径和名称
- 动态加频的类和方法
加密解密特征
- 加密和解密函数的调用情况
- 加密算法和密钥管理方式
用户交互特征
- 用户输入和点击事件
- 应用响应用户交互的行为

模型的训练过程

一、数据收集、预处理

Apk样本
反编译获取资源
标注数据
特征提取
日志和行为数据收集
数据清洗
格式规范化处理

二、模型训练

数据分割：训练集、验证集和测试集 7：2：1
合适的模型架构选择
设计超参数
选择损失函数
选择优化器
迭代训练
超参数优化

三、模型验证

监控损失值和准确率
验证集数据评估：调整模型超参数
测试集数据评估：测试泛化能力

四、模型优化

优化模型结构和超参数，提升模型性能
模型剪枝、量化

AI在移动攻防中的其他成用

恶意软件检测
漏洞检测
隐私保护
用户行为分析

美团

三层应用安全的产品架构，实现研发-部署-运维阶段全链条覆盖。三层架构包含：

1、风险评估层（扫描引擎+人工评估）

2、分析决策层（策略中台）

3、安全运营层

金融类APP安全分析

Token安全
Token存储
Token加密
Token传输

研究结论：

几乎所有银行厂商部署了代码加固
所有厂商的Root检测/反调试都可被绕过
多家厂商没有：
- 正确使用TEE去加密Token(生物认证绕过)
- 将Token绑定到单一设备上(数据迁移攻击)
- 正确防护重放攻击

测试流程：

Local Authentication circumvention
App State Migration
Network Request Replay

蛮犀车联网安全

网络安全和数据安全基本要求
- 落实安全主体责任
- 全面加强安全保护
加强智能网联汽车安全防护
- 保障车辆网络安
- 落实安全漏洞管理责任
加强车联网网络安全防护
- 加强车联网网络设施和网络系统安全防护能力
- 保障车联网通信安全
- 做好车联网安全应急处置
- 开展车联网安全监测预警
- 做好车联网网络安全防护定级备案
加强车联网服务平台安全防护
- 加强平台网络安全管理
- 加强在线升级服务（OTA）安全和漏洞检测评估
- 强化应用程序安全管理
加强数据安全保护
- 加强数据分类分级管理
- 规范数据开发利用和共享使用
- 提升数据安全技术保障能力
- 强化数据出境安全管理

车联网安全十大风险

不安全的生态接口
车辆的固件和软件存在已知漏洞
车辆的固件和软件可被非授权获取
不安全的身份验证和授权
不安全的加密
敏感信息泄露
不安全的配置
车内域未做安全隔离
车辆关键隐私数据泄露
社会工程学导致的安全问题

链安科技自动化 APP 风险扫描、漏洞发现和涉诈分析

静态分析、动态分析和自动化测试的智能渗透测试

自动化渗透测试与报告生成
- 使用AI和强化学习自动生成并执行POC代码
- 进行漏洞检测和测试
- 生成详细的测试报告和修复建议
资产探测与安全评估
- 主机扫播、Web应用扫描、目录和子域名枚举
- 综合分析目标系统的安全状态
- 使用Whois查询和开放数据收集完善资产数据库
数据挖掘与分析
- 深度分析Android、iOS应用和小程序
- 提取资源文件、网络通信和配置信息中的漏洞
- 自动收集URL、邮箱和数据库信息
- 通过网络抓包工具识别关键安全隐患

针对安卓、IOS以及小程序应用资产收集原理

静态分析：分析应用程序的资源文件，例如Android程序包中的strings.xml文件提取其中的URL、邮箱等敏感信息。收集数据库文件、文件系统快照、配置文件等，检查敏感信息泄露。
动态分析：使用网络抓包工具(如Wireshark.Fiddler、Burp Suite)捕获应用与服务器的通信，分析请求、响应和加密信息。结合Hook技术(Android使用Xposed框架，iOS使用Frida)识别域名信息、账号密码等。
小程序分析：通过工具(如wxappUnpacker)解包小程序文件，分析其中的URL和邮箱等信息。

资产探测

指定应用流量信息被动流量分析服务栏截用户与网站的通信流量

备份通信数据的大部分内容分析通信教据内容数据分析

分析网站的域名信导获取主域名,!P地址,子域名,中间件信息 SSL证书等信息数据分析

在获取到应用的所有流量后，将其转发至指定的代理服务进行分析，识别出URL后，开展如下资产探测工作：

主机扫描：使用主机扫描工具(例如 Nmap、OpenVA5 等)对目标 URL进行主机发现和端口扫描，以确定目标主机的开放端口和网络服务。
Web 应用扫描：使用 Web 应用扫描工具(例如 Nikto、Burp suite、Acunetix 等)对目标URL进行扫描，以发现潜在的漏洞和安全风险。这些工具能够检测常见的 Web 应用漏洞，如跨站脚本(XSS)、SQL注入、文件包含等。
目录枚举：使用目录枚举工具(例如 DirBuster、Gobuster、Dirsearch 等)对目标 URL 进行目录扫描，以发现隐藏的文件和目录。这可以帮助您发现未经身份验证的目录、备份文件、敏感文件等。
子域名枚举：使用子域名枚举工具(例如 Sublist3r、Amass、DNSmap 等)对目标 URL进行子域名扫描，以发现与目标相关的子域名。这对于发现其他可能存在的目标资产非常有用，如测试环境、开发者门户等。
Whois 查询：通过 Whois 査询工具(例如 WHOIS、在线 Whois 查询网站等)获取目标 URL 的域名注册信息，包括所有者约信息、注册日期、过期日期等。这可以提供有关目标组织或个人的更多信息。

自动化渗透测试

在获取到流量后，分析服务通过识别POC（概念验证）特征信息、中间件信息、容器信息等，对漏洞进行初步判断，满足条件后执行POC，根据结果判断是否存在特定漏洞。

自动化渗透测试基于AI技术，实现以下功能，并生成测试报告：

网络爬虫与自动化扫描：使用网络爬虫和自动化扫描工具自动扫描漏洞平台、安全论坛、代码托管平台等，收集POC代码。
资产探测：使用资产探测工具对云存储桶、数据库、配置文件等资源进行扫描，以发现配置错误、敏感数据泄露或不安全的存储。
自然语言处理(NLP)技术：使用NLP技术(如文本分类、信息抽取)分析安全论坛和研究报告等文本资源，自动筛选和归类POC代码。
机器学习与数据挖掘：利用机器学习和数据挖掘算法分析已有POC代码，发现相似漏洞和POC代码，自动推荐和补充，扩大POC库的覆盖范围和更新速度。
自动化测试框架：借助自动化测试框架对收集到的POC代码进行自动化测试，编写测试脚本，验证POC代码在目标系统上的有效性和可行性。
强化学习：使用强化学习算法和A1增强技术，优化POC测试的策略和行为，通过与目标系统的交互，根据反馈信息调整测试方式和参数，提高测试效果和覆盖范围。
自动生成测试报告：自动化测试完成后，生成测试报告，提供测试和修复建议，帮助开发人员和安全团队解决应用中的漏洞和安全问题。

应用场景

移动应用安全评估
- 评估Android、ios应用及小程序的安全性，发现敏感信息泄露、弱加密、未授权访问等问题。
- 开发团队可在应用发布前进行全面安全检测，提前修复漏洞，降低运行中的安全风险。
自动化检测应用交全
- 通过将多种工具整合形成安全检测系统来对大量的上线应用进行安全检测
- 通过自动化的渗透测试来帮助应用市场上的大量应用进行安全性测试

美杜莎、树蚺、银环蛇

海云安-软件供应链安全

软件供应链成为网络攻击新热点–严峻形势下的应用安全保障实践

深圳海云安安全服务中心技术副总监李华坚

什么是软件供应链安全?

ICT供应链是为满足供应关系通过资源和过程将需方、供方相互连接的网链结构。供应链安全风险：安全威胁利用供应链管理中存在的脆弱性导致供应链安全事件的可能性。

安全：一是漏洞引发的风险，二是合规&政策安全

传统网络安全VS软件供应链安全：关注边界防护，治标不治本 VS 从源头根治，健壮软件以安全人员为核心VS 安全左移，以开发者为核心。

国际竞争加剧，软件供应链安全上升为国家战略，软件供应链受到严重挑战：

软件供应链成为世界各国之间互相制约与竞争的重要手段，技术封锁和出口管制严重影响软件供应链完整性。
对软件供应链的自主可控、安全高效提出更高的要求。

《关键信息基础设施安全保护条例》《GB/T39204-2022信息安全技术关键信息基础设施安全保护要求》对关基提出了更高的软件供应链友全保护要求：一是在供应商选择时：二是开发交付时：三是验收时；四是运行使用时。

软件开源化趋势增强，安全风险增加

开源软件中含有一个漏洞
开源软件中含有高危漏洞
开源软件中含有许可证问题
开源软件已经超过2年无人维护更新

HW行动期间，软件供应链及开源组件安全问题频发，攻击方钓鱼及社工手段也不断推陈出新，让蓝队防不胜防。

软件供应链攻击已成为突破业务防线的新路径之一，一旦遭遇攻击，常规的防御措施将失效。

友盟SDK 越权漏洞实例

消息推送厂商友盟SDK存在可越权调用组件漏洞，基于该漏洞，可以实现对终端用户推送虚假诈骗信息、远程窃取用户终端设备中的敏感数据(例如通讯录、照片、账号密码等数据)等功能。

苹果 CocoaPods 漏洞案例

该漏洞可导致“任何恶意人员可获得数干个CocoaPods未声明pod 的所有权，并将恶意代码注入到很多最流行的iOS 和 macOs 应用程序中。

三方SDK成为被关注的重点

随着互联网行业的不断发展，数据安全、隐私保护等问题日益突出。在此背景下，第三方SDK的安全性、合见性以及数据保护能力成为了关注的重点。

北京雪诺科技有限公司-雪诺凉冬实验室

雷诺科技 Snow Tech 被心团队来自 360、奇安信、阿里、腾讯等国内外顶级互联网及数字安全公司,具备丰富的安全行业经验，帮助企业快速构建强有力的的数字安全基建。实验室作为雪诺科投攻坚力量，兼备攻防研究与红队实战能力。主要职能包括高级攻防类专家业务、前瞻攻防技术预研、武器工具解化等，致力于攻击能力品牌的出和打造。

微信小程序信息收集

在红蓝对抗和企业内部资产摸排场景中，移动端资产备受重点关注。诸如微信小程序已成为常规攻击面和突破口。尽可能全面，快速收集小程序资产，才能在有效的攻防周期内进行漏洞挖掘和分析，发现潜在的安全漏洞和攻击路径。

信息收集 - 目标公司微信小程序

微信官方关键字搜紊
第三方网站收集：天眼查、企查直、小蓝本
微信公众号：公众号跳转小程序
自标网站：小程序二维码、信息泄路appid

常规信息收集方法 1.以公司名为关键字去搜索对应的微信小程序, 2.第三方网站查询-企查查知识产权微信小程序 3.微信公众号跳转微信小程序 4.目标网站有微信小程序二维码入口

通过自动化的方式进行小程序收集，可以有效提升收集效率、增大资产收集广度，降低时间成本。

日标主体微信小程序自动化信息收集流程 1.自动化收集目标主体公司相关联的子公司、分公司

2.自动化以公司名称作为为关键字搜索旗下小程序

通过模拟点击行为进行小程序自动化收集

分析wechat搜索请求流程，自动化调用获得小程序基础信息

360小程序/公众号漏洞挖掘

小程序抓包技巧

安卓：Reqable/HttpCanary IOS：Reqable/Stream 、 Fiddler+Burp Windows：Reqable+Burp MacOS：Reqable+Burp

小程序/公众号debug：JaveleyQAQ/WeChatOpenDevTools-Python： WeChatOpenDevTool 微信小程序强制开启开发者工具

首先 USB 数据线连接手机进入调试模式
微信访问 http：//debugxweb.qq.com/?inspector=true 确定是否可以用(能打开就可用
微信上打开你需要调试的页面
歌浏览器地址栏输入 chrome：//inspect/#devices

小程序反编译

https://github.com/Ackites/KillWxapkg

https://github.com/o0x1024/IMiniCrack

开发者将自己的小程序上传之后，微信服务器会将小程序打包为以wxapkg作为扩展名的小程序数据包供客户端下载及使用。

app-configjson 就是对当前小程序的全局配置，包括了小程序的所有贞面路径、界面表现、网络超时时间、底部 tab、各个贞面的配置文件的汇总，app service,js 小程序源码中所有的js文件，在这个文件中，原有小程序工程中的每个JS 文件都被 define 方法定义声明，定义中包含JS 文件的路径和内容。

小程序存放路径

安卓：/data/data/com.tencent.mm/MicroMsg/(user哈希值)/appbrand/pkg/
iOS：/User/Containers/Data/Application/(系统UUlD)/Library/WechatPrivate/(user哈希值)/WeApp/LocalCache/release/
Windows：C：\Users\(系统用户名)ADocumentsWechat Files\Applet\
macOS：/Users/(系统用户名)/Library/Containers/com.tencent.xinWeChat/Data/.wxapplet/packages/

支付宝小程序反编译

Android root

adb shell
cd /data/data/com.eg.android.AlipayGphone/files/nebulalnstallApps
ls -lt
cd 20210011xxxx35
cd 1ce76d44d36d955axxxxx7feb3522

案例分享-微信小程序AppSecret泄露

AppSecret是小程序的唯一凭证密钥，也是获取小程序全局唯一后台接口调用凭证(access token)的重要参数，需要开发者妥善保管至后台服务器中，并严格保密，不向任何第三方等透露。

AppSecret密钥泄露漏洞其他的危害包括但不限于：冒用小程序身份给用户发送客服消息/模板消息、获取小程序获取小程序运维信息、日志等敏感信息、更改小程序相关的配置等,session key(用于解密微信侧提供的用户敏感数据)，https://developers,weixin.qq.com/community/minihome/doc/0004a84fcb0bb0e89eddbaa5156401

案例分享-微信小程序session key

为了保证数据安全，微信会对用户数据进行加密传输处理，所以小程序在获取微信侧提供的用户数据(如手机号)时，就需要进行相应的解密，这就会涉及到session key，session key指的是会话密钥，为微信开放数据AES加密的密钥，它是微信服务器给开发者服务器颁发的身份凭证。

案例分享-微信小程序session key世露

mrknow001/BurpAppletPentester： SessionKey解密插件

案例分享-微信小程序云AK/SK泄露漏洞

AK/SK(Access KeylD/Secret Access Key)即访问密钥，包含访问密钥ID(AK)和秘密访问密钥(SK)两部分，公有云通过AK识别用户的身份，通过SK对请求数据进行签名验证，用于确保请求的机密性、完整性和请求者身份的正确性。简单来说，云AK/SK是用于生成用户跟云平台的API通信的访问凭据。

案例分享-任意用户注册：只有登录功能，不能注册? 反编译小程序->寻找注册接口->构造注册请求->成功注册
案例分享-任意用户接管：Openld泄露->token泄露
案例分享-越权
案例分享-文件操作类：文件上传、文件删除、文件替换
案例分享-垂直越权
案例分享-供应商攻击：通过找到供应商->小程序源码审计

总结：小程序WEB漏洞

重点关注漏洞类型：

SQL注入
越权
任意文件上传
各类逻辑漏洞
弱口令
信息泄露
通用组件类漏洞
文件读取

基本不存在漏洞类型：

XSS
CSRF
目录遍历
CRLF注入
CORS

APP生态治理平台

建设移动互联网APP生态治理平台，提供安全仪表盘展示、安全趋势预测、安全决策支持、网络流量监控、应用行为监控、用户行为分析、异常行为检测、威胁情报收集、威胁情报分析、安全告警与通知功能。

收集来自各种渠道的漏洞信息、成胁情报信息等。对收集到的信息进行整理、分类和评级，确保信息的准确性和完整性。从多个渠道搜集、校验、分类和评级漏洞信息，以确保移动互联网APP知识库的准确性和完整性。

文档信息

本文作者：zhupite
本文链接：https://zhupite.com/sec/CAPPVD-salon-5.html
版权声明：自由转载-非商用-非衍生-保持署名（创意共享3.0许可证）

朱皮特的烂笔头