ATM機滲透測試的攻防實踐(3)

在這里，我們可以分為兩類：

1.胖客戶端滲透測試：

多數ATM應用是胖客戶端，我們可以在上面執行對應用的滲透測試：

敏感信息一般存儲在應用配置文件中，認證信息會存在注冊表內，還有部分敏感信息會被硬編碼到代碼之中

通過攔截流量，可以篡改操縱服務器和應用之間傳遞的敏感信息

檢查應用和數據庫之間是否存在明文通信協議

反逆向的保護措施

2.應用設計審查：

在這一點中，我們可以檢查應用中的一些安全實踐內容：

記錄到日志文件中的事件類型

ATM應用運行使用的特權

軟件是否會將不同等級的用戶進行限制，根據不同的用戶ID展示不同的內容

訪問應用相關文件夾的權限

沒有密碼或者使用老舊密碼是否能夠成功交易

操作系統是否能在應用運行時對其進行訪問

與后端組件的交互情況

檢查網絡隔離是否有效

是否用戶輸入了無效密碼也會進行記錄

是否每個事務都會強制性需要密碼

軟件是否會泄露輸入的密碼

原文轉自：http://www.freebuf.com/articles/terminal/119338.html

• 共7頁:
• 上一頁
• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 下一頁