![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
安全测试
文章平均质量分 85
测试狂人
就职于某大型国企,世界500强企业
擅长:
1.自动化测试开发
2.测试管理
3.项目管理PMP
展开
-
了解XXS攻击---安全测试需了解的内容之一
我这里只让你了解什么是xss,通俗的讲就是我在url带上链接、网址、图片等都含有恶意的脚本,只要你一点就会执行。 这里只了解,不讲什么实现,因为这技术发展到今天,有N种方法可以解决掉和预防,就像现在医院攻克了很多病毒,不怕你感染,可以有药治疗,死不了,还可以打疫苗防病。 那为什么我们还要去了解呢,第一就是因为很多无聊的人,会利用老技术来恶搞和目的性的攻击,我...原创 2019-08-18 17:48:04 · 6562 阅读 · 0 评论 -
【转】APP 安全测试点概述
一、安装包测试1.1 关于反编译 目的是为了保护公司的知识产权和安全方面的考虑等,一些程序开发人员会在源码中硬编码一些敏感信息,如密码。而且若程序内部一些设计欠佳的逻辑,也可能隐含漏洞,一旦源码泄漏,安全隐患巨大。 为了避免这些问题,除了代码审核外,通常开发的做法是对代码进行混淆,混淆后源代码通过反软件生成的源代码是很难读懂的,测试中,我们可以直接使用反编译工具(dex2jar和jd...转载 2019-07-10 17:09:43 · 617 阅读 · 0 评论 -
【转】Andorid-APP 安全测试
Android系统由于其开源的属性,市场上针对开源代码定制的ROM参差不齐,在系统层面的安全防范和易损性都不一样,Android应用市场对app的审核相对iOS来说也比较宽泛,为很多漏洞提供了可乘之机。市场上一些主流的app虽然多少都做了一些安全防范,但由于大部分app不涉及资金安全,所以对安全的重视程度不够;而且由于安全是门系统学科,大部分app层的开发人员缺乏安全技术的积累,措施相对有限。...转载 2019-07-10 17:08:59 · 1358 阅读 · 0 评论 -
【转】史上最全Android 开发和安全系列工具
取证工具bandicoot - 一个Python工具箱,用于分析手机元数据。它提供了一个完整,易于使用的环境,数据科学家分析手机元数据。只需几行代码,加载数据集,可视化数据,执行分析和导出结果。 Android Connections Forensics- 使法庭调查员能够连接到其原始进程 Android Forensics- 开源Android Forensics应用程序和框架 And...转载 2019-07-10 15:48:54 · 802 阅读 · 0 评论 -
【转】Android APP安全测试简介
移动APP面临的威胁:木马、病毒、钓鱼、破解、篡改、二次打包、账号窃取、广告植入、信息劫持等一、Android APP安全测试思路分析:1.安全测试工具2.基础环境3.数据安全4.程序安全5.数据传输6.业务安全二、APP面临的风险1.不安全的服务器访问控制2.不安全的数据存储3.传输层保护不足4.非预期的数据泄露5.脆弱的认证和授权6.已知...转载 2019-07-10 15:00:21 · 404 阅读 · 0 评论 -
【转】Android逆向世界之一:smali文件
一直对android的逆向分析很感兴趣,这些年也陆陆续续反编译了一些android的项目,今天开始对这方面的知识做一下总结。先从android的apk文件开始讲起。APK文件android工程编译完成会得到我们想要的apk安装包,apk文件其实是一个压缩包,可以直接用解压缩软件解压,解压后的文件如下图所示:assets文件夹保存一些额外的资源文件,如游戏的声音文件,字体文件等等,...转载 2019-07-10 14:59:51 · 717 阅读 · 0 评论 -
【转】移动APP安全测试要点
移动APP安全测试要点上次《运营商渗透测试与挑战》中提到,随着运营商新技术新业务的发展,运营商集团层面对安全的要求有所变化,渗透测试工作将会面临内容安全、计费安全、客户信息安全、业务逻辑及APP等方面的挑战。随着运营商自主开发的移动APP越来越多,这些APP可能并不会通过应用市场审核及发布,其中的安全性将面临越来越多的挑战,这一点在《XcodeGhost危害国内苹果应用市场》一文中就曾提到过...转载 2019-07-10 14:17:00 · 560 阅读 · 0 评论 -
【转】运营商渗透测试与挑战
最近几年,运营商行业安全服务中渗透测试中常见的漏洞包括弱口令、注入漏洞、跨站漏洞、Struts2命令执行漏洞、WebServer远程部署及上传漏洞等,但随着新技术、新业务出现和运营商集团层面的关注重点有所转移,渗透测试工作将会面临内容安全、计费安全、客户信息安全、业务逻辑及APP等方面的挑战,这就需要服务团队与时俱进,满足客户的服务要求。文章对这些方面进行了分析与总结,希望对安全服务人员的渗透测试...转载 2019-07-10 14:11:39 · 460 阅读 · 0 评论 -
apk反编译--快速入门安全性测试
在安全测试中,特别是测试app的同学,肯定考虑到反编译,反编译是什么?可能有些人还是不知道,反编译是将app的开发者,把app打包好的apk进行反编,其作用是反编出来能否看到源码,这就关乎安全性的问题咯,你想想啊,源码这么容易被人看到,机密不是泄露了,在这竞争激烈的社会,关乎生死存亡。所以研发人员打包好的apk前要对代码进行混淆,混淆就是把代码关键内容或变量等进行重命名,所以很多apk反编译出原创 2017-12-08 10:15:30 · 3415 阅读 · 4 评论 -
apk安装包签名--快速入门安全性测试
如何测试apk的安装包签名,这是安全测试其中一项;安装包签名:jarsigner -verify -verbose -certs apk包路径运行结果为“jar已验证”,说明签名校验成功原创 2017-12-07 20:15:09 · 1653 阅读 · 0 评论