APP安全性测试_app安全性测试报价

最新推荐文章于 2024-07-16 14:32:41 发布
最新推荐文章于 2024-07-16 14:32:41 发布
阅读量922 收藏 19
点赞数 7
分类专栏: 程序员 文章标签: 单元测试 功能测试 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84140707/article/details/138887116
版权

img
img

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2. 文件权限

· 检查App所在的目录,其权限必须为不允许其他组成员读写

3. 网络传输

· 检查敏感信息在网络传输中是否做了加密处理,重要数据要采用TLS或者SSL

备注:http请求默认是明文的,如果安全验证和加密机制很烂,通过网络嗅探扫描,很容易被猜到和模拟请求,也可能被注入。

比如:允许一个虚假的HTML形式被注入攻击者利用来诱骗用户输入他们的用户名和密码,然后把他们的凭据发送到恶意网站。

4. 运行时解释保护

· 对于嵌有解释器的软件,检查是否存在XSS、SQL注入漏洞

· 使用webiew的App,检查是否存在URL欺骗漏洞

5. Android组件权限保护

· 禁止App内部组件被任意第三方程序调用。

· 若需要供外部调用的组件,应检查对调用者是否做了签名限制

6. 升级

· 检查是否对升级包的完整性、合法性进行了校验,避免升级包被劫持

7.应用自身安全性

· 对某个应用进行逆向,看反编译后的代码有没有敏感信息暴露。反编译后对代码修改,插入劫持代码后重新打包,如果存在这种漏洞,对用户和开发者都构成极大的威胁。

备注:要求对应用进行加密,防止静态破解,盗取源码,然后嵌入恶意病毒、广告等行为再利用工具打包、签名,形成二次打包应用

8.界面截取

· 通过adb shell命令或第三方软件获取root权限,在手机界面截取用户填写的隐私信息,随后进行恶意行为。

安全性测试方法

如下为转载 Seay FreeBuf 的文章

移动app大多通过web api服务的方式跟服务端交互,这种模式把移动安全跟web安全绑在一起。移动app以web服务的方式跟服务端交互,服务器端也是一个展示信息的网站,常见的web漏洞在这也存在,比如说SQL注入、文件上传、中间件/server漏洞等,但是由于部分app不是直接嵌入网页在app中,而是使用的api接口返回josn数据,导致扫描器爬虫无法爬取链接。

下图是抓的糗事百科糗事列表

那么我尝试去找app服务端的漏洞,目前想到的两种方法:

1.反编译APP

2.http[s]代理抓包

那么有人应该会提出问题,这两种方式拿到的链接都是零零散散的,也不好找漏洞啊,我这边的利用方式是把所有抓取的链接直接提交任务到多引擎web漏洞扫描器,扫描器可以批量扫SQL注入等等,其实除了这些漏洞,还有很多可以利用的信息。

一、反编译APP

有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是java汇编代码。

1. dex2jar反编译

工具:dex2jar+jdgui

方法:

a. 修改apk为zip扩展名

b. 解压出classes.dex文件

c.使用dex2jar反编译(dex2jar.bat classes.dex)

最后反编译出来的源码如下图。虽然部分类被配置proguard.cfg 混淆了,但是还是可以利用的。

  1. apktool反编译

工具:apktool

这个工具比较简单,直接(apktool d apkfile)就可以反编译apk文件,反编译出来的东西为smali反汇编代码、res资源文件、assets配置文件、lib库文件,我们可以直接搜索smali文件和资源文件来查找链接等。

利用app查找网站真实IP

除了app服务端的漏洞,还有一个比较好玩的利用方式,通过收集app里面的子域名ip来寻找目标网站的真实IP,根据经验,大多app的接口都没有使用cdn等服务。

糗事百科真实IP

二、http[s]代理抓包

这个方法利用在移动设备上设置代理,通过人工操作使app与服务端交互

步骤:

a. 在抓包机器上开启代理,测试可以用burp,需要自动化提交扫描任务可以自己写一个代理程序,移动设备设置代理服务器。

b. 在移动设备上操作app,代理端抓取如下。

img
img

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

技术提升。**

需要这份系统化的资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84140707
关注
专栏目录
APP应用安全测试
m0_68271895的博客
02-27 1004
中国信息通信研究院发布的《移动应用数据安全与个人隐私保护白皮书(2019年)》显示,67%的App 存在5个及以上个人信息安全问题,18.5%的App 存在10个及以上个人信息安全问题。超过四成App的问题集中在未公开收集使用规则、未明示收集使用目的、超范围收集个人信息等5类问题上。 APP数据安全的检测,重点在对个人隐私保护上的检测。主要分为:隐私协议合规性、收集及使用个人信息合规性、权限申请及使用合规性、风险行为四部分。
2018年App测试流程及要点梳理
qq_42817356的博客
12-10 2577
先说说,为什么要给大家梳理App测试流程和要点呢? 主要是缘于有太多同学咨询相关App测试的问题,回答的次数多了,就不想打字了,还不如这样全部帮你们整理好,希望各位看到的同学收藏转发,认真学习吸收,将之变为自己理解的内容,直到熟练运用到实际工作中去,此推文小编只分享一次,建议先收藏! 1.App测试流程 1.1流程图 1.2测试周期 测试周期可按项目的开发周期来确定测试时间,一般测试时间为两三周(...
app如何进行安全测试
weixin_43886221的博客
04-02 2598
软件安全性测试是软件质量保证过程中的一个重要环节,其目的是为了发现、暴露和修复软件系统中可能存在的安全漏洞或弱点,确保系统在遭受恶意攻击时能够有效保护数据的机密性、完整性和可用性。在设计和执行软件安全性测试时,测试人员会模拟各种安全威胁和攻击场景,以验证软件在面临这些潜在风险时的安全防护能力。总之,在执行安全测试时,不仅要注重技术手段的有效性,还要充分考虑法律、伦理、风险管理等多个维度,确保整个测试过程既严谨又合规。软件安全性测试旨在确保软件产品的整体安全性,并为用户提供一个安全可靠的环境来使用和交互。
APP 安全测试项总结!
最新发布
qq_43371695的博客
07-16 836
安装包测试、1.1、关于反编译、目的是为了保护公司的知识产权和安全方面的考虑等,一些程序开发人员会在源码中硬编码一些敏感信息,如密码。而且若程序内部一些设计欠佳的逻辑,也可能隐含漏洞,一旦源码泄漏,安全隐患巨大。
APP安全测试汇总【网络安全】
2401_84466325的博客
05-26 1395
检测 APP 移动客户端是否经过了正确签名,通过检测签名,可以检测出安装包在签名后是否被修改过。如 果 APP 使⽤了 debug 进⾏证书签名,那么 APP 中⼀部分 signature 级别的权限控制就会失效,导致攻击 者可以编写安装恶意 APP 直接替换掉原来的客户端。
【软件测试】如何进行APP安全性测试
m0_58026506的博客
11-07 1154
通常我们队APP所进行的安全性测试包含以下几个模块:安装包安全性、数据安全性、软键盘劫持、账户安全性、通信安全性、备份检查等。下面针对每个模块我们详细说明具体的测试方法。1、反编译目的是为了保护公司的知识产权和安全方面的考虑等,一些程序开发人员会在源码中硬编码一些敏感信息,如密码。而且若程序内部一些设计欠佳的逻辑,也可能隐含漏洞,一旦源码泄漏,安全隐患巨大。为了避免这些问题,除了代码审核外,通常开发的做法是对代码进行混淆,混淆后源代码通过反软件生成的源代码是很难读懂的。
鸿蒙系统下APP安全测试方案_v1.1.1.docx
05-13
### 鸿蒙系统下APP安全测试方案 #### 1. 引言 ##### 1.1 测试目的 在当前数字化时代,移动应用程序的安全性成为企业和用户关注的重点。随着鸿蒙系统的推出和发展,针对其上的应用程序进行严格的安全测试变得尤为...
APP通用测试用例(覆盖安全性_易用性_性能_安装_更新).xlsx
04-13
最全面的APP测试通用用例。覆盖很全,包括安全性测试、易用性测试、性能测试、安装卸载、更新推送!如果你准备设计测试用例, 这是一份必备的宝典
APP测试相关资料_appium_app测试相关资料_Monkey_
09-28
除了以上工具,移动APP测试还包括功能测试、性能测试、兼容性测试安全性测试等多个方面。功能测试验证应用是否按预期工作,性能测试关注启动速度、内存占用等;兼容性测试涵盖不同设备、操作系统版本、网络环境;...
app.zip_APP开发_android_android studio3.0_app测试
09-20
7. **安全性测试**:评估应用的数据保护和隐私策略。 8. **压力和稳定性测试**:长时间运行应用,检查其在高负载下的表现和崩溃情况。 综上所述,使用Android Studio 3.0开发的测试应用涉及到了完整的APP开发流程...
App安全性测试工具drozer
10-17
**App安全性测试工具drozer详解** drozer是一款强大的安全测试工具,主要针对Android和iOS平台的应用程序(App)进行安全评估。它为安全研究人员和移动应用测试者提供了深入的洞察力,帮助他们发现并修复潜在的安全...
APP安全性测试总结-移动APP安全测试
12-05 2272
安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是java汇编代码。dex2jar主要是用来把之前zip解压出来的classed.dex转成jar包的jd-gui主要是用来打开Jar包的APP源代码对于一个公司是非常重要的信息资源,对APP的保护也尤为重要,APP的反编译会造成源代码被恶意者读取,以及APP的逻辑设计,我们一般想要
APP 安全测试
zhusongziye的博客
04-04 2074
一、安装包测试  1.1、关于反编译  目的是为了保护公司的知识产权和安全方面的考虑等,一些程序开发人员会在源码中硬编码一些敏感信息,如密码。而且若程序内部一些设计欠佳的逻辑,也可能隐含漏洞,一旦源码泄漏,安全隐患巨大。  为了避免这些问题,除了代码审核外,通常开发的做法是对代码进行混淆,混淆后源代码通过反软件生成的源代码是很难读懂的,测试中,我们可以直接使用反编译工具(dex2jar和jd-gu...
最佳的10款App安全测试工具
fly_enum的博客
06-01 1208
移动互联网时代,我们的生活和工作深受 App 影响。伴随移动 App 的广泛应用,App 安全日益重要。本文介绍了 App 开发可能用到的安全测试工具。当今, 全球移动用户大约超过37亿。Google Play 上大约有 220 万个 App, 苹果App Store 上大约有 20 亿或更多的 App。同时,根据 Flurry 统计数据表明,现在,每个人每天会在移动设备上 花费近 5 个小时的时间。移动 App 的广泛应用,必然伴随着新的应用安全威胁。这些攻击与以前经典的 web app 无关。
移动APP测试要点之性能、兼容、接口、交叉测试
weixin_33946605的博客
03-07 522
之前有写过APP功能测试和安全测试的要点,今天在分享一部分,包括,性能测试、兼容性测试、借口测试、交叉测试。 性能测试:评估App的时间和空间特性 ; 极限测试:在各种边界压力情况下,如电池、存储、网速等,验证App是否能正确响应。包括:内存满时安装App、运行App时手机断电、运行App时断掉网络 响应能力测试测试App中的各类操作是...
APP安全测试
xia_xia的博客
01-12 8301
1. 数据安全   App的安全问题首先是数据安全。App本地存储的数据和网络请求数据中有没有涉及到用户的隐私数据。   本地存储数据可以查看看应用的shared_prefs文件和数据库文件中的数据(root后在应用安装目录内,或者查看外部存储中有没有写入敏感数据)。   cache—缓存文件,databases—数据库目录,files—本地文件,lib—库文件,webview—网络视图
App安全(一) Android防止升级过程被劫持和换包
热门推荐
Tamic (大白)
08-17 1万+
文/ Tamic 地址/ http://blog.csdn.net/sk719887916/article/details/52233112 前言APP 安全一直是开发者头痛的事情,越来越多的安全漏洞,使得开发者越来越重视app安全,目前app安全主要有由以下几部分APP组件安全Android 包括四大组件:Activitie、Service、Content Provider、Broadba
APP安全性测试
a10703060237的博客
06-26 2285
前言:   随着互联网发展,APP应用的盛行,最近了解到手机APP相关的安全性测试,以webview为主体的app,站在入侵或者攻击的角度来讲,安全隐患在于http抓包,逆向工程。   目前大部分app还是走的http或者https,所以防http抓包泄露用户信息以及系统自身漏洞是必要的,通过抓包当你查看一个陌生用户信息时,一些手机号,qq等信息页面上应该不显示的,但这些信息不显示并不代表服务器没有下发,好多都是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值