安卓APP安全测试维度

最新推荐文章于 2024-01-30 09:52:48 发布
最新推荐文章于 2024-01-30 09:52:48 发布
阅读量560 收藏 4
点赞数 1
分类专栏: 渗透测试 文章标签: 安全 安全漏洞 app安全 安卓
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w1590191166/article/details/105906861
版权

本文从大方向上介绍安卓APP安全测试维度,一般从三个维度入手:

  1. 客户端

    • 代码安全
    • 配置安全
    • 存储安全

  2. 服务端

    • 业务逻辑安全
    • 应用组件安全
    • 系统主机安全

  3. 通信过程

    • 协议安全
    • 传输安全

0x01 客户端

1.1 代码安全

1.1.1 APP签名
  • 签名证书检测
  • 签名机制检测
1.1.2 APP完整性校验
  • 二次打包检测
1.1.3 代码保护
  • 代码反编译检测
  • 重要代码逻辑保护
  • 敏感信息泄露检测

1.2 配置安全

1.2.1 AndroidManifest.xml配置
  • debug 属性配置
  • allowbackup属性配置
1.2.2 四大组件安全
  • Activity安全
  • Broadcast Receiver安全
  • Service安全
  • Content Provider安全
1.2.3 webview安全
  • webview代码执行漏 洞
  • webview默认设置问题
1.2.4 logcat配置安全
  • logcat日志输出敏感信息
1.2.5 APP升级安全
  • APP升级劫持
1.2.6 APP发布
  • 测试数据遗留
  • CI/CD文件遗留

1.3 存储安全

  • sdcard存储敏感数据
  • shared preference全局可读写
  • SQLlite存储敏感信息

1.4 其他可选项

  • 应用权限滥用
  • 键盘记录隐患
  • 应用界面截屏
  • 模拟器环境检测
  • 网络代理检测
  • 进程注入保护
  • 动态调试保护
  • 第三方SDK安全性

0x02 服务端

2.1 业务逻辑安全

​ 业务逻辑和越权类漏洞

2.2 应用组件安全

​ 所用中间件和应用框架类漏洞

2.3 系统主机安全

​ 端口服务和系统主机层漏洞

0x03 通信过程

3.1 协议安全

  • 使用安全版本协议

3.2 传输安全

  • 传输内容加密
  • 服务端证书强校验

以上为博主根据实际经验总结得出,欢迎补充,具体测试方法和工具将会另起博文介绍

ATpiu
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
1.0 Kotlin-Android开发简介
不一样的烟火
07-30 975
Android简介 安卓是一种基于Linux内核(不包含GNU组件)的自由及开放源代码的操作系统。主要使用于移动设备,如智能手机和平板电脑,由美国Google公司和开放手机联盟领导及开发。 Android历程 2003年10月,Andy Rubin等人创建Android公司,并组建Android团队。 2005年8月17日,Google低调收购了成立仅22个月的高科技企业Android及其团队。安迪鲁宾成为Google公司工程部副总裁,继续负责Android项目。 2007年11月5日,谷歌公司正式向外界展
移动APP安全测试要点
02-24
在海量的应用中,APP可能会面临如下威胁:在这次的移动APP安全测试实例中,工作小组主要通过如下7个方向,进行移动终端APP安全评估:运营商自主开发的自动化APP安全检测工具,通过”地、集、省”三级机构协作的方式...
Android APP常见风险及防护
技术超强的网络安全平台
09-17 808
如果程序本身对运行时的内存没有做任何的保护措施,攻击者通过反编译对源代码进行分析,定位到可以程序外 Hook 类似操作的关键位置,完全不需要修改程序本身,当程序运行到敏感的界面 Activity 时,从程序外获取用户输入的证件号、姓名、手机号和密码等敏感的信息,并从内存中进行修改,尤其是对于涉及到支付等操作时,将严重威胁用户的财产安全app被轻易的二次打包,很容易被攻击者添加恶意的代码或者添加广告,从而窃取登录账号密码、支付密码等,严重威胁用户隐私安全,也给公司的形象带来不利的影响。
Android安全性:保护你的应用和用户数据
虎哥LoveDroid
04-19 1323
安全性是指保护应用和用户数据免受未经授权的访问、攻击或泄露的能力。在Android应用开发中,安全性是一个重要的关注点,开发者需要在设计和开发过程中考虑各种安全性方面,以确保应用和用户数据的安全。首先,应用开发者需要关注认证和授权。认证是验证用户身份的过程,授权是决定用户是否具有执行特定操作的权限。在应用中,开发者应该使用安全的认证和授权机制,例如使用强密码、多因素认证等来保护用户账户的安全。此外,应用应该限制用户访问和操作的权限,只授权必要的权限,避免过度授权导致的安全风险。
渗透测试之App安全测试详解
最新发布
qq_43775006的博客
01-30 1206
对于App安全渗透测试来说可将其检测方向分为七大模块,分别是客户端程序安全、敏感信息安全、密码安全安全策略、进程保护、通信安全和业务安全
设计APP测试用例需要考虑哪些维度
u013906715的专栏
02-16 1488
一、APP的安装与升级 1)升级中用户数据、设置、状态是否正常保留 2)是否支持低版本、高版本的覆盖安装。覆盖安装后用户数据正常保存 3)测试升级安装,升级安装后用户数据正常 4)需考虑灰度升级的问题,提示是否友好,可以X掉 5)强升是否正常,不升级app无法使用 二、APP的启动与停止 1)首次启动app正常进入loading页,loading页展示的时间、页面都正常 2)启动时...
APP测试
qq_42551545的博客
03-15 146
每一个APP都需要不断地更新和迭代,增加新的功能来优化自己的产品,每一个手机软件的版本的回归也好自动化也好,和电脑是不一样的,电脑只能看到最新版本,手机APP是不能保证所有用户都用最新版本的,所以手机APP的测试要更关注老版本的兼容和新功能的产生有没有对老功能产生影响,所以回归测试不是回归老版本,而是在新版本上去验证新功能的产生有没有对老功能产生影响。(自己做了某个操作,软件给出相应的反应)其他性能测试范围:CPU占用,内存占用,耗电测试,流量消耗测试,安装包大小,加载时间测试,核心功能响应时间。
移动APP安全测试
weixin_43639443的博客
11-27 2724
1.移动APP安全风险分析* 1.1 安全威胁分析 安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。 1.2 面临的主要风险 1.3 Android测试思维导图 1.4 反编译工具 有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是...
Android安全测试
Scorpio_m7
05-17 996
基础介绍 Android 平台、组件等基础知识介绍 Android平台架构 Android系统 架构采用分层式设计。 如果把Android 系统看做一层一层的,那么基本可以理解成以下结构(这是其中一种简单的分层方式): 最上层是应用层( Application 层),包含所有应用 ,比如桌面 (桌面 也是应用)、电话、 设置等,以及我们常用的微信、优酷等应用属于这一层 第二层是应用框架层Framework 层),包含了对上层应用的管理和提供开发者所需的应用程序编程接口( API )。 第三层是系统运行库层
app端专项测试
weixin_45912307的博客
10-05 2094
01 专项测试概述 1.专项测试(用户维度) 崩溃(Crash,弱网) 卡顿(掉帧、GC、CPU) 响应慢(启动时间、交互时间、H5加载) 发热(cpu、内存、网络、io、gps等硬件使用) 掉电快(硬件占用) 兼容性问题(平台、手机品牌/型号、回归) 2.专项测试(技术维度) 崩溃 自动遍历、monkey测试、横竖屏切换、快速进退 卡顿(掉帧、gc、cpu) 卡顿测试、内存泄漏测试、 method profile 响应慢(启动时间、交互响应、H5加载) 冷热启动、界面切换、h5性能测试
安卓系统app安全测试.zip
09-11
android安全测试框架(drozer:从零开始搭建及过程中的应用均下载打包在内,另有使用教程)
微信小程序安全测试指南
07-07
由于新技术新业务的发展速度较快,可能存在客户要求的测试项不在指南中 的情况,本文档提供对微信小程序进行测试的基本思路。
Android App安全测试基础与进阶
01-10
1、综合整理了关于Android App安全测试的各种知识; 2、详细描述了常见/常被利用的漏洞; 3、从9大方面细分3个层次(检测介绍、具体测试方法、修复建议)来描述详细的实操方法;希望能对大家有所帮助。
安卓APP安全风险分析与渗透测试研究.pdf
08-26
安卓APP安全风险分析与渗透测试研究.pdf
移动Android APP安全检测分析与研究.pdf
08-26
移动Android APP安全检测分析与研究.pdf
shiro-550漏洞复现(CVE-2016-4437)
热门推荐
ATpiu的博客
03-22 1万+
漏洞概述 Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 影响范围 Apache Shiro版本<=1.2.4 漏洞复现 使用vulhub起shiro对应环境 gadget使用CommonsBeanut...
k8s对外攻击面总结
ATpiu的博客
12-19 8897
k8s对外攻击面总结/k8s漏洞
史上最全的子域名搜集方法(证书透明度/DNS记录/威胁情报/代码仓库/dns暴力破解/各种细节)
ATpiu的博客
02-03 7690
背景 信息收集在安全测试当中有相当重要的作用,信息收集的程度决定了安全测试的广度和深度,而在信息收集中,初期的子域名收集尤为重要。 本文将从主动信息收集和被动信息收集两个维度阐述子域名收集的方法,并给出详细的网址,方便大家查询。 子域名收集 一、被动信息收集 利用Google提出的证书透明度(Certificate Transparency)查询公开的子域,一般查询结果包括域、签发者、有效期和...
使用frida绕过安卓ssl pinning
ATpiu的博客
05-24 7577
一、背景 安卓安全测试中,其中一个维度测试就是服务端业务逻辑安全性测试,主要通过抓包实现。 其实说白了就是中间人攻击,装着要测试APP安卓手机发包给我们电脑的burpsuite,我们可以使用bp截包改包的内容,再发给服务端,服务端收到请求后响应,把返回包发给电脑的bp,bp最后发给我们手机上的app。 随着移动端安全逐渐加强,现在越来越多的app已经无法抓到包,或者提示网络相关错误。其实根本原因在于客户端发包时对于服务端的ssl证书进行了校验。 二、客户端证书处理逻辑分类 客户端关于证书的处理逻辑,按照安
app安全测试怎么测
07-27
可以通过渗透测试的方式对App的服务器进行安全检测,模拟恶意攻击方式进行对服务器攻击,从而提高App服务器的安全性。\[1\] 其次,可以在每次启动App时进行自身完整性校验,验证App逻辑中是否存在不属于App的文件。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值