【转】Android APP安全测试简介

最新推荐文章于 2024-05-07 13:14:02 发布
最新推荐文章于 2024-05-07 13:14:02 发布
阅读量404 收藏 1
点赞数
分类专栏: 安全测试

移动APP面临的威胁:木马、病毒、钓鱼、破解、篡改、二次打包、账号窃取、广告植入、信息劫持等

一、Android APP安全测试思路分析:

1.安全测试工具

2.基础环境

3.数据安全

4.程序安全

5.数据传输

6.业务安全

二、APP面临的风险

1.不安全的服务器访问控制

2.不安全的数据存储

3.传输层保护不足

4.非预期的数据泄露

5.脆弱的认证和授权

6.已知的不安全加密方式

7.客户端注入

8.通过不被信任的输入改变安全设定

9.会话处理不当

10.缺乏二进制保护

三、业务数据流

数据输入基础环境安全
数据存储数据安全
内部传输程序安全
通讯通讯安全
服务器业务安全


 四、所需知识

Linux     Android系统编程         逆向       其它知识  
常用操作命令adb命令Java语法Smali语法http/ https
 安全框架NDK编程Dex文件格式html
 程序运行机制SDK编程ARM汇编XSS
 常见漏洞  JS


五、使用工具

大部分工具获取地址:http://www.androiddevtools.cn/

 

六、基础环境安全

1.基础环境安全测试内容:反编译、逆向、Intent注入、键盘记录、屏幕截取等

2.反编译

  反编译步骤请参考:https://blog.csdn.net/bbs11007/article/details/78748410

3.反编译后能干啥?修改资源文件,比如替换应用图标、名称、版本,甚至植入广告等

七、数据安全

 1.数据存储、日志,硬编码中的用户信息泄露,应用数据一般都存放在/data/data/<appname>目录下,检查sharedpreference 、files、databases存储的用户信息,比如用户的密码、电话、银行卡等信息是否明文显示,或不安全的加密方式

2.查看数据库文件:chmod修改文件夹或文件权限,使用adb pull命令导出到本地,然后用数据库软件查看,比如SQLite

3.日志的检测,检查内容和上面相似

 adb shell

ps | grep mw 查找到客户端的进程号

logcat | grep pid 查看进程输出的日志

4.硬编码检测:反编译出来的Smali源码中搜索关键字符串,password,admin,AES_KEY等,是否有账号密码等信息

八、程序安全

1.防止二次打包,篡改

2.Smali :    https://blog.csdn.net/bbs11007/article/details/95336681

九、安全扫描工具

在google市场下个AVL pro用里面的应用分析器

十、其它测试推荐

1.IOS

https://bbs.pediy.com/thread-163216.htm

2.Android

https://bbs.pediy.com/thread-163215.htm

(以上内容纯属学习摘取,大家共同学习进步)
--------------------- 

原文:https://blog.csdn.net/baidu_37461180/article/details/79595786 
版权声明:本文为博主原创文章,转载请附上博文链接!

测试狂人
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android安全测试用例(网络资源学习记录)
天在等我,菜鸟想飞
12-30 7135
数字签名检测 C:\Program Files\Java\jdk1.8.0_111\bin\jarsigner.exe -verify APK 文 件 路 径 -verbose –certs 当输出结果为“jar 已验证”时,表示签名正常 检测签名的 CN 及其他字段是否正确标识客户端程序的来源和发布者身份 如上图,说明测试结果为安全。 要说明的是,只有在使用直接客户的证书签名时,才认为安全。 Debug 证书、第三方(如 开发方)证书等等均认为风险。 反编译检测 把 apk 当成 zip
Android View 滚动边界的测量
weixin_33782386的博客
10-11 127
最近一直在用Android TV的RecyclerView,实现视频搜索列表卡片的滚动显示,由于采用了双排滚动,打破了系统默认的单排滚动,且每一屏幕显示10个完整卡片5个半漏边卡片,每个完整卡片的左下角有个数字角标(1~10),通过语音说出数字角标后能够打开对应的卡片节目。RecyclerView的双排滚动着实麻烦,因为打破了原有的机制,连续滚动过程中经常会出现焦点乱跳或者丢失以及显示错位等等问题...
drozer-Android安全测试基本使用教程(Windows10)_drozer官网(1)
最新发布
2401_84715583的博客
05-07 1006
确保配置了adb、java环境变量。
android 安全性测试,Android app安全性能测试
weixin_29349409的博客
05-26 120
1.安装包测试(1)能否反编译代码(源代码泄露问题):开发:对代码进行混淆;测试:使用反编译工具进行查看源代码,是否进行代码混淆,是否包括了显而易见的敏感信息(2)安装包是否签名(ios重app有正式的发布证书签名,不必考虑):需要在发布前验证一下签名使用的key是否正确,以防被恶意第三方应用覆盖安装(3)完整性校验:检查文件的md5值(4)权限设置检查(增加新权限需要进行评估):android检...
移动APP安全测试
weixin_43639443的博客
11-27 2864
1.移动APP安全风险分析* 1.1 安全威胁分析 安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。 1.2 面临的主要风险 1.3 Android测试思维导图 1.4 反编译工具 有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是...
Android安全测试
Meng
12-28 3943
目录 1、客户端APP安全 2、服务端安全 3、通信安全(通信保密性) 1、客户端APP安全 (1)反编译-APP加密或者代码混淆或者加壳处理 (2)防二次打包-验证APP签名-获取二次打包后APP的签名与正确的AP签名进行对比 (3)组件导出 Ativity组件-检测组件是否可以被外部应用调用 Service组件-检测组件是否可以被外部应用调用 content provider组件-检测组件是否可以被外部应用调用 Broadcast receiver组件-检测组件是否可以被外部应用
Android App安全测试基础与进阶
01-10
1、综合整理了关于Android App安全测试的各种知识; 2、详细描述了常见/常被利用的漏洞; 3、从9大方面细分3个层次(检测介绍、具体测试方法、修复建议)来描述详细的实操方法;希望能对大家有所帮助。
Android APP渗透测试大全.pdf
04-13
Android客户端安全测试指南,
Android APP渗透测试方法大全.pdf
05-22
Android APP 渗透测试方法大全 一、Android APP 渗透测试方法 二、工具使用 三、常用测试工具以及环境平台 四、风险等级评定
Android APP渗透测试方法大全-137页.pdf
10-08
Android APP渗透测试方法大全-137页
Android 端 Iperf 测试 APP
03-24
**Android 端 Iperf 测试 APP 知识点详解** `iperf` 是一个广泛使用的网络性能测试工具,主要用于测量网络带宽、延迟以及数据传输的稳定性。在 Android 平台上,`iperf` 通常被开发成 APP 形式,以便用户能够方便地...
Android 安全测试思路总结(攻击面)
Venscor技术养成之路
02-12 8760
Android攻击面
移动APP安全
Mr__su的博客
07-04 3145
1.评估思路移动APP面临的威胁 风起云涌的高科技时代,随着智能手机和iPad等移动终端设备的普及,人们逐渐习惯了使用应用客户端上网的方式,而智能终端的普及不仅推动了移动互联网的发展,也带来了移动应用的爆炸式增长。在海量的应用中,APP可能会面临如下威胁: 新技术新业务移动APP评估思路 移动APP安全测试实例中,主要通过如下7个方向,进行移动终端APP安全评估: 运营商自动化APP测评
Android安全防护
毛豆豆的博客
08-04 9042
各位大佬好,今天谈一下我在实际项目开发中遇到的APP安全以及我做的防护 Android开发者常常面临的一个问题就是防破解、 防二次打包。现如今,安全问题越来越重要,越来越多 的Android开发者也开始寻求安全的保护方案。首先说一下,我做的是保险行业的应用。所以有很多安全监测的东西要过。其实一般的公司,外包什么的很少管APP安全的。即使你的应用中集成了微信支付宝的支付。也不需要你自身做什么太多的安
移动安全Android安全检测工具大全
4lwin博客
10-20 1万+
测试工具集 Appie – 轻量级的软件包, 可以用来进行基于Android的渗透测试, 不想使用VM的时候可以尝试一下.Android Tamer – 可以实时监控的虚拟环境, 可以用来进行一系列的安全测试, 恶意软件检测, 渗透测试和逆向分析等.AppUse – AppSec Labs开发的Android的虚拟环境.Mobisec – 移动安全的测试环境, 同样支持实时监控Santoku
Android APP报毒和排查解决
热门推荐
yangChong
06-01 4万+
APP遇到操作一些较高的用户权限,比如删除短信,定时开关机这些,在用户手机安装应用时会提示用户给用户。 但是最近一个项目出现了报毒的现象,被百度手机管家定位为木马应用,原因是添加了发送和删除短信的权限。 于是在发送短信的时候,添加了弹框,提示用户会发送一条短信,解决的问题。 安全管家或者检测中心一般会检测你的部分代码块时候匹配木马数据库,或者请求协议,用户操作权限来判断是否
Android安全[测试标准]
0x00的博客
08-02 1448
安卓攻击面 物理层攻击分析:USB, 手机 无线层攻击分析:NFC, RF, BLE , Cellular, GPS, WIFI 应用层攻击分析:APP   手机启动模式:下载模式, fastboot模式 物理层测试 测试名称:usb--[mtp测试] 测试工具: mtp的fuzzing工具:https://github.com/ollseg/usb-device-fuzzing ...
安卓安全测试
fengmoon的博客
08-24 721
drozer是一款针对Android系统的安全测试框架。它提供了很多安卓平台下的渗透测试。通过攻击测试,暴露安卓app的漏洞 这里以应用sieve做为应用,来讲解drozer的使用。 1 首先在PC端安装服务端,然后在手机上安装客户端 2 开启客户端的开关,进入drozer的路径,输入发 adb forward fcp:31415 fcp:31415
手机 APP 无法连接服务器,DNS被篡改被劫持?
weixin_33853794的博客
09-18 718
手机 APP 无法连接服务器,DNS被篡改被劫持?HTTPDNS+云解析DNS打造移动解析最佳解决方案HTTPDNS是面向移动开发者推出的一款域名解析产品,具有域名防劫持、精准调度的特性。HTTPDNS使用HTTP协议进行域名解析,代替现有基于UDP的DNS协议,域名解析请求直接发送到阿里云的HTTPDNS服务器,从而绕过运营商的Local DNS,能够...
Android APP渗透测试全攻略:环境设置与安全检查
2. **客户端程序安全测试** - **数字签名检测**:通过jarsigner.exe验证APK的签名,确保它是由合法证书签发。签名的正确性包括检查CN(Common Name)以及其他标识符,若显示“jar已验证”,则表明签名有效。然而,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值