app有什么风险（APP常见风险）

APP常见风险主要分为:客户端安全、数据安全、通信安全、业务安全。

一、客户端安全:

1、签名校验:大部分的Android APP没有对正盗版进行校验，重新签名后的APP在手机中安装后可以正常运行,

这使APP面临被他人反编译、恶意篡改、二次打包的风险。

2、未检测安全环境:

1）ROOT环境: APP在ROOT环境下运行可以随意访问任意应用储存的任何数据，造成数据泄露、数据非法篡改等风险。

2）模拟器环境:攻击者通过自己修改定制特定的模拟器来达到监控应用关键函数、获取应用敏感数据，破解应用的目的。

3）Hook环境: Xposed/Substrate是 常见的hook框架,黑客可使用hook手段对apk进行脱壳、内存截取/修改等操作。

4）代理环境: APP应用运行在代理环境下，通信过程能被中间人截获,造成用户请求伪造、重放攻击、敏感信息泄露等威胁。

3、配置安全: allowbackup备份风险、 Debug属性安全、 组件安全

4、代码安全:反编译风险、-次打包风险、so文件风险、动态调试风险、进程注入安全

二、数据安全

1、不安全的数据存储:

SharePreferences数据明文存储、SQLite数据明文存储

2、Logcat日志: .

移动应用在运行的过程中，通过adb或者monitor查看实时打印日志，如果日志的输出没有做好等级控制，则存在用户名、密码等敏感信息泄露的风险。

3、密钥存储安全:

APP开发者将密钥信息硬编码在代码中，造成密钥泄露。

三、通信安全

1、不安全的通信:

移动APP与服务器进行交互时，使用不安全的HTTP协议,对数据进行明文传输，攻击者将有机会对当前网络环境中其他合法用户的通信内容进行窃听甚至算改，进而影响数据的安全性。

2、未对通信双方身份进行鉴别(不安全的身份验证) :

移动APP与服务器进行交互时，互相不验证证书,手机设置代理，使用Burpsuite等抓包工 具可以捕获APP所有请求,造成中间人攻击、通信数据被泄露的风险。

3、未加密或加密不足: .

如果使用弱加密算法对数据进行加密处理，存在被破解，造成数据泄露的风险。

四、业务安全

1、身份鉴别安全

任意用户登录风险、用户名注册状态泄露、弱密码风险、账户登录限制、登录密码爆破风险、账号注销安全

2、验证码机制安全

验证码爆破风险(短信轰炸)、验证码泄露风险、验证码无限发送风险、万能验证码、修改返回包绕过验证码找回密码

3、支付机制安全

支付密码爆破风险、交易篡改风险、支付数据包重放风险