Android安全测试(一)

最新推荐文章于 2024-05-16 19:47:11 发布
最新推荐文章于 2024-05-16 19:47:11 发布
阅读量1k 收藏 2
点赞数 1
文章标签: 移动开发
原文链接:http://www.cnblogs.com/ffrs/p/11024241.html
版权

目前APP测试领域,关注重点基本都在功能测试,自动化测试,而我工作三年了,研究点也一直处于自动化测试领域,而忽视安全测试方面的学习

偶尔看到一则新闻,说某人家里电视机闹鬼,只要电视通电,电视就自己换台,自动重启,发出哭声之类的,售后师傅刚上门给换了一台新的,售后师傅还没下楼,电视机就又开始发疯了...

懂点技术基本都能摸个差不多,就是这家人的电视被攻击了,从售后师傅帮忙刚换了新电视,电视又发疯

我分析应该是无线网被攻破,攻击者电脑便与电视处于同一局域网内,之后通过技术手段进行攻击。攻击者可以轻而易举的就对电视进行操作,主要是电视系统的安全性不到位,常见的电视系统安全不到位的情况有:

》1、电视出厂前adb连接的开关没有关闭

》2、进入工厂菜单操作步骤简单,用户可以轻易进入工厂菜单进行各项更改

》3、用户可以轻易获取到超级管理员的权限

之后我就开始安装kali linux,学习了点渗透测试方面的知识,当然也还是菜鸡一只。下图就是自己的雕虫小技,尝试的将电视上图片都替换成红包

 

 下面就开始每天写一点Android渗透测试的内容,当然自己也是小白,权当记录一下

1、数字签名检测

打开cmd,进入到JDK的安装路径,C:\Program Files\Java\jdk1.8.0_111\bin,输入命令:

jarsigner.exe -verify APK文件路径

 

当输出结果为“jar已验证”,则表示签名正常,测试通过。

2、检测签名的字段是否正确标示客户端程序的来源和发布者身份,输入命令:

jarsigner.exe -verify -verbose -certs APK文件路径

若各个字段与我们预期的一致,则测试通过

需要注意的是,只有在直接客户签名的证书签名时,才认为安全。 Debug 证书、第三方(如开发方)证书等均认为是风险

 

下一遍,记录APK反编译检测

 

转载于:https://www.cnblogs.com/ffrs/p/11024241.html

weixin_30533797
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[车联网安全自学篇] Android安全之移动安全测试指南「移动安全测试基本原理」
橙留香Park的博客
02-02 414
[车联网安全自学篇] Android安全之移动安全测试指南「移动安全测试基本原理」;在接下来的部分中,我们将简要介绍常规安全测试原则和关键术语。所介绍的概念与其他类型的渗透测试中的概念基本相同,所以如果你是经验丰富的渗透测试人员,你可能会熟悉其中的一些内容移动APP安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁在整个指南中,我们将 “移动应用安全测试” 作为一个综合名词,指的是通过静态分析和动态分析对移动应用安全进行评估。例如:“移动应用渗透测试” 和 “移动应用安全分析
【转】手机安全测试
weixin_34217773的博客
08-06 186
一、通过在线工具进行测试 1.腾讯金刚审计系统service.security.tencent 优点:包含了修复建议 2.阿里聚安全检测网址:  jag.alibaba 阿里聚安全下有自己的安全博客,包含一些: 1.安全漏洞、2.病毒分析、3.技术研究、4.安全报告相关文档。 3.360捉虫猎手检测结果appscan.360.cn/同样有自己的安全博客 4.爱加密网址:safe....
Android安全测试神器大全(含静态测试、动态分析、反编译等)
最新发布
2301_80119299的博客
05-16 754
4. Mobile-Security-Framework MobSF – 移动安全框架是一种智能的,多合一的开源移动应用程序(Android / iOS)自动化测试框架,能够执行静态,动态分析和Web API测试。12. AppMon –AppMon是一个自动框架,用于监视和篡改本机macOS,iOS和android应用程序的系统API调用。5. JAADAS – 程序内和程序间联合程序分析工具,可在Soot和Scala的基础上找到Android应用程序中的漏洞。
手机安全测试
庄小法的博客
04-09 1649
此文章不对外,所以写的不是很详细,一笔概过。 漏洞描述 如果安卓应用没有使用有效的token机制,对登陆响应中的服务器返回的鉴权信息进行修改,即可绕过服务器鉴权,直接访问系统内部信息。 重现场景 修改code值即可绕过鉴权进入登录后界面 漏洞描述 对访问该模块时的关键用户信息进行替换,则可越权访问他人的应用模块。 失败场景 漏洞描述 登录页有无验证码短信验证码,是否限...
Android安全测试用例(网络资源学习记录)
天在等我,菜鸟想飞
12-30 7118
数字签名检测 C:\Program Files\Java\jdk1.8.0_111\bin\jarsigner.exe -verify APK 文 件 路 径 -verbose –certs 当输出结果为“jar 已验证”时,表示签名正常 检测签名的 CN 及其他字段是否正确标识客户端程序的来源和发布者身份 如上图,说明测试结果为安全。 要说明的是,只有在使用直接客户的证书签名时,才认为安全。 Debug 证书、第三方(如 开发方)证书等等均认为风险。 反编译检测 把 apk 当成 zip
android app系统的测试_Android系统Server自动化安全测试
weixin_39895283的博客
12-01 249
Android中有些应用APP会用到系统Server提供的服务,其中有些Server是android 原生自带的,有些是OEM厂商定制添加的,可以使用service list 命令查看,怎么评估其安全性呢?这些Server是注册在ServiceManager中,使用android binder机制进行通信,厂商定制的Server常用AIDL的方式编写服务,所以先对android bind...
android安全测试方法
12-20
针对Android应用进行人工安全测试的流程和方法,测试项目分类,使用工具,测试方法,结果描述
Android应用安全测试工具-Drozer
06-26
Drozer支持插件式模块化设计,具有完善的API和命令行界面,可以帮助安全测试人员快速和高效地进行安全测试和攻击,同时支持多平台布署。 主要功能包括: 插件式模块化设计,支持定制化测试和攻击流程。 支持自动...
Android 端 Iperf 测试 APP
03-24
**Android 端 Iperf 测试 APP 知识点详解** `iperf` 是一个广泛使用的网络性能测试工具,主要用于测量网络带宽、延迟以及数据传输的稳定性。在 Android 平台上,`iperf` 通常被开发成 APP 形式,以便用户能够方便地...
Android 测试入门篇
09-04
Android作为一个开源的操作系统,它的核心特性与层次结构为测试工作提供了基础。Android系统由四层主要部分组成: 1. **Application(应用程序层)**:这一层包含了用户直接交互的各种应用程序,如电话、联系人、...
Android App安全测试基础与进阶
01-10
1、综合整理了关于Android App安全测试的各种知识; 2、详细描述了常见/常被利用的漏洞; 3、从9大方面细分3个层次(检测介绍、具体测试方法、修复建议)来描述详细的实操方法;希望能对大家有所帮助。
移动应用APP安全开发要求、安全检测标准-android
03-19
本文根据owasp出具的2016移动应用top10的checklist翻译而来,适用于所有android应用
安全测试常用 ADB 命令
个人笔记
05-28 2099
ADB 是 Android 提供的原生工具,其实是一个功能强大的工具集,包含各个子二进制,分布在 Android 文件系统的各个位置。普通开发既可以利用 ADB 进行常规调试和测试,渗透人员也可以利用 ADB 进行安全测试。了解常用的 ADB 命令是 Android 安全测试必不可少的基本技能。我们在这里只是阐述安全相关的一些测试命令,如果想了解更多,可以参考文章开头提到的官方和三方手册。
移动端专项测试必备神器 — adb
myh919的博客
05-06 280
01、Android调试桥 (adb),Android调试桥 (adb) 是一种功能多样的命令行工具,可让您与设备进行通信。adb命令可用于执行各种设备操作(例如安装和调试应用),并提供对Unix shell(可用来在设备上运行各种命令)的访问权限。
Android安全测试
Meng
12-28 3939
目录 1、客户端APP安全 2、服务端安全 3、通信安全(通信保密性) 1、客户端APP安全 (1)反编译-APP加密或者代码混淆或者加壳处理 (2)防二次打包-验证APP签名-获取二次打包后APP的签名与正确的AP签名进行对比 (3)组件导出 Ativity组件-检测组件是否可以被外部应用调用 Service组件-检测组件是否可以被外部应用调用 content provider组件-检测组件是否可以被外部应用调用 Broadcast receiver组件-检测组件是否可以被外部应用
Android 安全测试思路总结(攻击面)
Venscor技术养成之路
02-12 8754
Android攻击面
转载:Android APP安全测试入门
光明矢的专栏
04-25 3853
Android APP安全测试入门 转载地址:https://sobug.com/article/detail/7                作者:nx4dm1n 背景         最近这两年移动端真是非常火,每个单位或多或少都会有那么几款App,对于我们Web安全攻城师来说,App安全也需要或多或 少的了解一些。
Android APP安全测试
逆风飞扬
02-13 817
Android APP安全测试
移动APP安全
Mr__su的博客
07-04 3145
1.评估思路移动APP面临的威胁 风起云涌的高科技时代,随着智能手机和iPad等移动终端设备的普及,人们逐渐习惯了使用应用客户端上网的方式,而智能终端的普及不仅推动了移动互联网的发展,也带来了移动应用的爆炸式增长。在海量的应用中,APP可能会面临如下威胁: 新技术新业务移动APP评估思路 移动APP安全测试实例中,主要通过如下7个方向,进行移动终端APP安全评估: 运营商自动化APP测评

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值