目前APP测试领域,关注重点基本都在功能测试,自动化测试,而我工作三年了,研究点也一直处于自动化测试领域,而忽视安全测试方面的学习
偶尔看到一则新闻,说某人家里电视机闹鬼,只要电视通电,电视就自己换台,自动重启,发出哭声之类的,售后师傅刚上门给换了一台新的,售后师傅还没下楼,电视机就又开始发疯了...
懂点技术基本都能摸个差不多,就是这家人的电视被攻击了,从售后师傅帮忙刚换了新电视,电视又发疯
我分析应该是无线网被攻破,攻击者电脑便与电视处于同一局域网内,之后通过技术手段进行攻击。攻击者可以轻而易举的就对电视进行操作,主要是电视系统的安全性不到位,常见的电视系统安全不到位的情况有:
》1、电视出厂前adb连接的开关没有关闭
》2、进入工厂菜单操作步骤简单,用户可以轻易进入工厂菜单进行各项更改
》3、用户可以轻易获取到超级管理员的权限
之后我就开始安装kali linux,学习了点渗透测试方面的知识,当然也还是菜鸡一只。下图就是自己的雕虫小技,尝试的将电视上图片都替换成红包
下面就开始每天写一点Android渗透测试的内容,当然自己也是小白,权当记录一下
1、数字签名检测
打开cmd,进入到JDK的安装路径,C:\Program Files\Java\jdk1.8.0_111\bin,输入命令:
jarsigner.exe -verify APK文件路径
当输出结果为“jar已验证”,则表示签名正常,测试通过。
2、检测签名的字段是否正确标示客户端程序的来源和发布者身份,输入命令:
jarsigner.exe -verify -verbose -certs APK文件路径
若各个字段与我们预期的一致,则测试通过
需要注意的是,只有在直接客户签名的证书签名时,才认为安全。 Debug 证书、第三方(如开发方)证书等均认为是风险
下一遍,记录APK反编译检测