Android APP安全测试Checklist

最新推荐文章于 2024-05-26 11:02:25 发布
最新推荐文章于 2024-05-26 11:02:25 发布
阅读量7.5w 收藏 21
点赞数 2
分类专栏: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iamhuanggua/article/details/53513312
版权

前言

此文档旨在大家提供Android平台APP安全风险与漏洞相关的一般性Checklist,保障安全评估测试的基础质量与效率。

配置安全

发布状态检查

该类漏洞的审查场景:发布的代码未启用代码混淆、未关闭调试模式、未关闭不必要的日志输出、或者含有内网IP地址等信息

漏洞类型说明:
发布状态检查:如果APP未启用代码混淆或者其他抵抗分析的机制,或者在AndroidManifest.xml中定义了android:debuggable为true,或者没有限制日志输出的级别可能导致攻击者更容易地分析APP的运行机制,更方便地发现其中潜在的安全漏洞,以及信息泄露的风险。如果APP发布时未移除代码中保存的公司内部IP地址或域名信息,也将导致公司内网信息泄露。
审核点及方法:综合分析判断APP是否在发布前进行了充分的检查。
黑盒方法:利用dex2jar等工具对apk文件进行逆向,观察代码是否被混淆。分析AndroidManifest.xml文件,检查android:debuggable是否设置为true(缺省为false),通过logcat观察日志输出,在源码与xml文件中查找是否泄露公司敏感信息。

权限申请

该类漏洞的审查场景:APP权限申请

漏洞类型说明:
关于权限申请问题,其实不能算作是漏洞,而是一个安全设计原则,即权限分配最小化原则,APP申请权限应当遵循最小化原则,禁止申请不必要的冗余权限。

自定义权限

该类漏洞的审查场景:APP自定义权限

漏洞类型说明:
根据官方建议[1],尽量避免自定义权限。如果必须自定义权限,建议保护级别设定为"Signature"。原因是保护级别为"Dangerous"的权限,其他APP可能也会申请该权限,而这些特定权限的说明可能会让用户困惑,而用户感到困惑时,通常忽视权限申请直接批准。
审核点及方法:检查AndroidManifest.xml文件中是否通过permission定义了权限,检查这些权限的protectionLevel是否为signature,若否,那么这些权限很可能被第三方申请。可进一步考察这些权限用于保护的功能,评估权限被第三方APP获取后可能造成的危害。

签名有效性校验

该类漏洞的审查场景:对APK文件进行反编译之后重新打包签名安装

漏洞类型说明:
签名有效性校验:如果APP在实现逻辑中缺乏对签名文件合法性的校验,黑客可以对APK文件反编译(可利用apktool工具d选项),并按照自己的意图对APK代码进行篡改,然后将篡改后的文件重新编译打包(可利用apktool工具的b选项),最后使用自定义的签名文件对打包APK文件签名(可利用keytool,jarsigner,zipalign工具)。这样,黑客可以向APP中植入恶意代码,并将重新编译打包的APK文件分发出去。
审核点及方法:判断APP的实现逻辑中是否对签名文件的合法性进行校验。
黑盒方法:将原始APK反编译,篡改其中的代码,重新编译打包APK,并用自定义生成的签名文件对其签名,安装APK,验证其是否能正常运行,若APP能正常运行,说明其实现中缺乏对签名有效的校验。

数据安全

存储安全

该类漏洞的审查场景:APP数据本地存储方式

漏洞类型说明:
数据存储安全:分析APP本地数据存储的安全,主要从三个方面考虑:① 高度敏感数据禁止存储在客户端(比如用户密码);② 敏感数据必须设置为私有访问权限(禁止使用Context.MODE_WORLD_READABLE、Context.MODE_WORLD_WRITEABLE模式创建私有文件);③ 禁止向外部存储设备(SD卡)写入敏感信息,对来自外部存储设备的数据,处理前必须校验数据的完整性、合法性。

  1. 场景:/data/data/<package_name>目录

审核点及方法:/data/data/<package_name>是Android系统分配给APP的默认私有存储目录,典型结构如下:

/data/data/<package_name>目录中的文件只属于对应的APP,只允许所属APP访问该目录的文件,如果开发者将文件的访问模式设置为Context.MODE_WORLD_READABLE或者Context.MODE_WORLD_WRITEABLE,将导致文件全局可读/写,造成文件可被任意APP访问。如下:

可以看到loginshare.json的访问权限是第三方可读的,这样系统中已安装的任意APP都可以访问到loginshare.json中的内容,导致敏感信息泄露。
黑盒方法:通过adb shell连接Android模拟器或者测试机(要求拥具备root访问权限),进入对应的/data/data/<package_name>目录,查看各个文件的访问权限和存储内容,确保两个方面:1. 无论文件权限如何设置,文件都不能存储高敏感信息,比如密码;2. 所有文件的权限都应当设置为禁止第三方APP读/写。

最低0.47元/天 解锁文章
拥春飞翔
关注
  • 2
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
应用程序发布清单「App Publish Checklist」-crx插件
03-10
核对清单之前,关键的PUBLISH按钮,以确保你不要搞乱发布! 该扩展允许您添加一个清单,如果您现场发布您的Android应用程序,将会提醒您。您需要手动选择每个任务才能发布应用程序! 这是非常重要的,因为我们成为开发者经常忘记构建中的一些重要任务,并推动它错误地生活! 支持语言:English
移动APP安全漏洞(原理/场景/修复)
lefooter的博客
05-03 2802
反编译 0x01 漏洞描述 APK文件是安卓工程打包的最终形式,将apk安装到手机或者模拟器上就可以使用APP。反编译apk则是将该安卓工程的源码、资源文件等内容破解出来进行分析。 0x02 漏洞危害 攻击者通过反编译可获取应用安卓客户端应用的源代码,攻击者可根据源代码获取对应接口信息,加密算法、密钥,以及一些硬编码在代码中的其他敏感信息,从而进行进一步攻击。 0x03 修复意见 使用...
APP安全测试汇总【网络安全】
最新发布
2401_84466325的博客
05-26 1023
检测 APP 移动客户端是否经过了正确签名,通过检测签名,可以检测出安装包在签名后是否被修改过。如 果 APP 使⽤了 debug 进⾏证书签名,那么 APP 中⼀部分 signature 级别的权限控制就会失效,导致攻击 者可以编写安装恶意 APP 直接替换掉原来的客户端。
loadData与loadDataWithBaseURL的区别
hilary3113的博客
07-28 969
      在写WebView时,感觉LoadUrl太浪费流量,而且加载起来有点慢,就考虑用其它的方法来实现。在加载页面时,如果只加载数据,页面模板提前写好放到项目中,这样就可以来更快的加载页面,用户体验会好些。       如果不用loadUrl,省下的就只有LoadData和loadDataWithBaseURL了,下面来说下LoadData和loadDataWithBaseURL 的用法;...
上线前checklist
07-02 1753
http://wenda.tianya.cn/question/0d4e1801939eed80
移动安全学习笔记——网络安全漏洞总结
0nc3的博客
03-07 1367
0x00 简介 文章目录0x00 简介0x01 socket端口开放问题1、漏洞原理2、检测方法3、漏洞危害4、修复方案0x02 SSL证书信任问题1、漏洞原理2、检测方法3、相关设置4、漏洞危害5、修复方案0x03 明文协议通信1、漏洞原理2、检测方法3、漏洞危害4、修复方案0x04 不安全的加密方式1、漏洞原理2、检测方法3、相关设置4、漏洞危害5、修复方案0x05 使用硬编码密钥加密1、漏洞原理2、检测方法3、相关设置4、漏洞危害5、修复方案0x06 参考 0x01 socket端口开放问题 1、漏洞
Android APP安全测试
weixin_44800376的博客
12-06 1425
1、Android APP安全分析风险 1.1安全威胁分析 安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。 1.2面临的主要风险 客户端 数据传输 服务端 反编译 防二次打包 组件导出 Webview漏洞 键盘安全 屏幕截屏风险 数据安全 界面劫持 本地拒接服务 数据备份风险 Debug调试风险 数据窃听 中间人攻击 信息泄露 业务逻辑漏洞 SQL注入 XSS 上传漏洞 暴力破解 安全策略 1.3Android测试思维导图 思维导图
Android APP渗透测试方法checklist
04-23
Android APP渗透测试方法checklist
APP测试CHECKLIST(ios)
07-29
APP测试CHECKLIST(ios)APP测试CHECKLIST(ios)APP测试CHECKLIST(ios)APP测试CHECKLIST(ios)
渗透测试环境搭建常用命令方法checklist(iOS&&Android).xlsx
04-02
渗透测试环境搭建常用命令方法checklist(iOS&&Android)。 对于入门选手很好的参考价值。
web测试Checklist表.xls
04-22
web各种常见测试点综合如功能测试、性能测试、接口测试、兼容测试、安全测试、用户体验_可用性测试等测试要点,整合一个表
Web软件开发共通CheckList
05-18
Web软件开发共通CheckList,可以扫除/发现一些开发者自己写的程序的基本错误。
用户体验测试web和APPchecklist.xlsx
04-14
用户体验测试web和APPchecklist
APP测试checklist模板
snail_huang84的博客
03-06 7129
APP测试CHECKLIST       测试主干 灰度 线上     必测     Android IOS Android IOS Android IOS 测试人员 说明 一、迭代版本功能            
【部署发版验证】发版checklist
热门推荐
檀越的博客
02-15 2万+
作为程序员,发版是一项重要的任务,需要做好充分的准备,以确保软件的质量和稳定性。10.监控:在部署后,确保程序能够正确运行,并且监控程序的运行状况,以便在出现问题时能够及时采取行动。3.版本控制:确保代码已经上传到正确的版本控制库,并且代码版本和提交信息都是正确的。2.测试:对代码进行全面的单元测试,集成测试和端到端测试,以确保程序的功能正确性。9.性能测试:对程序进行性能测试,以确保程序在目标环境中可以提供足够的性能。6.配置文件:确保配置文件中的设置正确,并且程序将使用正确的设置运行。
Android开发中的Https安全规范
caizehui的博客
01-11 1159
前言: 越来越多的Android应用为了android通信安全,将http通信改为Https通信连接,或单向验证或双向验证。 但是如果不按规范将TLS连接中对证书等进行安全校验,实际上和http通信没有任何差别,还是有很多的安全风险,如中间人攻击等。 一方面TLS版本要高,如TLS1.2、TLS1.3,因为旧版本的都已发现安全漏洞。另外,就是一些通用部分,如下为阿里Android开发手册部分提到的规范,可以进行参考。 从 2017 年 3 月 1 日起,只要新应用或应用更新采用的 HostnameVerif
Android静态安全检测 -> 证书弱校验
4lwin博客
07-29 1万+
证书弱校验 - X509TrustManager.checkServerTrusted方法 1. API 继承关系 javax.net.ssl.X509TrustManager public interface X509TrustManager implements TrustManager 主要方法
APP渗透测试检查-checklist
anan的博客
06-05 5799
app渗透测试检测项
android 应用安全
carson2440的专栏
12-28 700
Android端应用安全开发指南 一 数据存储 概述 移动应用经常需要在某些场景下(比如用户登录)处理和用户或业务相关的敏感数据,有时候为满足某些业务需求,需要把这些敏感数据存储在本地,如果不对这些数据进行适当处理,就有可能存在敏感信息泄漏的风险。 安全准则 A.敏感数据总是优先考虑存储在内部空间。 B.敏感数据无论是存储在内部还是外部空间均应经过加密后再存储,应避免直接明文存储。 C....
性能测试checklist
02-06
性能测试checklist是用于准备和执行性能测试的一个重要工具。它包含了一系列的项目和任务,以帮助测试人员更好地评估系统的性能,发现潜在的性能问题和瓶颈。 首先,性能测试checklist包括了对系统的基本信息,如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拥春飞翔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值