安装包-安全测试

最新推荐文章于 2022-01-12 15:52:13 发布
最新推荐文章于 2022-01-12 15:52:13 发布
阅读量547 收藏 1
点赞数
文章标签: 移动开发 测试
原文链接:https://juejin.im/post/5c1c8ea2f265da611510c48b
版权

主要说明以下内容:

1、能否反编译代码

2、安装包是否签名

3、完整性校验

4、权限设置检查

反编译代码:移动应用发布出去后最终用户获得的是一个程序安装包,我们需要关注的是用户能否从这个安装包中获取项目的源代码,从安全方面考虑,程序开发人员是否会在程序源代码中硬编码一些敏感信息,如密码等。常用的反编译方法是使用dex2jar工具并结合jd-gui工具(java的反编译工具)查看源代码。(一般是正式发布的时候才看,测试环境代码混淆了日志不好查看)

1、下载dex2jar和JD-GUI,在参考资料中添加了这两个工具的百度网盘下载地址供读者下载使用

2、找到我们准备测试用的apk,并将 后缀.apk改为.zip

3、将test.zip解压,并查看目录,找到classes.dex

4、并将这个文件拷至dex2jar工具存放目录下

5、打开控制台,使用cd指令进入到dex2jar工具存放的目录下,如图

6、进入到dex2jar目录下后,输入“dex2jar.bat classes.dex”指令运行 执行完毕,查看dex2jar目录,会发现生成了classes.dex.dex2jar.jar文件

7、上一步中生成的classes.dex.dex2jar.jar文件,可以通过JD-GUI工具直接打开查看jar文件中的代码

被混淆过的class反编译后的效果图(类文件名称以及里面的方法名称都会以a,b,c....之类的样式命名):

安装包是否签名:IOS系统不必太考虑这些问题,因为IOS每一个App发布出来都有一个正式的发布证书来签名,发布到App Store 时,App Store会做校验,保证APP是合法的开发者发布出来的。对于Android来说,发布的渠道多样,没有此类权威检查,我们需要验证下签名使用的Key是否正确,以防被第三方应用恶意覆盖安装,我们可以使用一下命令检查: jarsigner -verify -verbose -certs apk包路径 如果运行后,显示 jar已验证,说明签名校验成功

完整行校验:为确保安装在测试过程到发布过程中因为各种问题导致文件损坏,需要对安装包做完整性校验,通常做法是检查文件的MD5值,一般通过自动化测试校验.

关注下方软件测试二维码,获取更多免费学习视频和技术干货

weixin_34381666
关注
测试软件安装包
09-04
用于代码测试的软件 禅道项目管理软件集产品管理、项目管理、质量管理、文档管理、组织管理和事务管理于一体,是一款功能完备的项目管理软件,完美地覆盖了项目管理的核心流程
测试文件下载
04-16
最多添加5个标签,每个标签不超过6个汉字,多个标签之间用“,”分隔
CentOS 系统RPM 安全检查
weixin_33912453的博客
10-17 159
运行下面的命令可以检查rpm包安装后发生了什么改变# rpm -Va S.5....T. c /etc/watchdog.conf S.5....T. c /etc/xinetd.d/tftp S.5....T. c /etc/rc.d/rc.local S.5....T. c /etc/sysctl.conf S.5....T. c /etc/bashrc S.5....T. c /...
安装包下载测试
weixin_41581818的博客
01-12 71
银柿财经安装包
数字证书中主题(Subject)中字段的含义
热门推荐
09-27 1万+
数字证书中主题(Subject)中字段的含义 一般的数字证书产品的主题通常含有如下字段: 公用名称 (Common Name) 简称:CN 字段,对于 SSL 证书,一般为网站域名或IP地址;而对于代码签名证书则为申请单位名称;而对于客户端证书则为证书申请者的姓名;  单位名称 (Organization Name) :简称:O 字段,对于 SSL 证书,一般为网站域名;
SIMATIC-WinCC-Runtime-Professional-V19安装包-链接地址.txt
05-04
- **测试调试**:完成配置后,进行系统测试和调试,确保各项功能正常运作。 #### 四、应用场景 - **制造业**:适用于汽车制造、电子设备组装等行业,用于生产线的监控与控制。 - **能源行业**:如电力、石油天然...
telnet离线安装包-i686
最新发布
05-30
在这个场景下,“离线安装包”意味着这个包可以在没有互联网连接的情况下用于安装telnet服务,这对于那些网络受限或者安全性要求较高的环境非常有用。 描述虽然简洁,但我们可以从中推断出这个包是针对32位系统的,...
Windows 系统 Redis-x64-3.2.100安装包 - 已压缩
10-10
- **安全**:在生产环境中,建议使用防火墙或其他安全措施限制对 Redis 服务的访问,以防止未授权的外部访问。 - **持续集成/部署**:在 Windows 上使用 Redis 可能需要调整 CI/CD 流程,因为许多自动化工具和脚本...
SIMATIC PCS7 V9.1 SP2安装包-链接地址baiduyun.txt
02-24
- 对于大型工程项目,建议在安装完成后进行全面的功能测试。 #### 七、技术支持与资源获取 - **官方网站**:访问西门子官方支持网站获取最新版本的更新信息和技术支持文档。 - **社区论坛**:加入相关的专业社区...
mysql数据安装包-解压版5727-32位
01-25
总的来说,这个解压版的MySQL安装包为32位Linux系统提供了完整且稳定的数据库服务,适用于开发、测试或生产环境。用户应根据官方文档或相关教程进行安装和配置,确保MySQL能够正确无误地运行并发挥其强大功能。
非常好用的后台校验 jar包
05-19
使用注解的形式校验前端参数的正确性,使代码更简洁,专心处理业务逻辑,将校验规则解耦到了validate校验器中,要项目源码的私聊我
你的apk有多不安全
weixin_33946605的博客
07-05 91
http://bbs.csdn.net/topics/390598569
apk安装包签名--快速入门安全测试
测试领域专家,多领域测试技术、管理、工具都略懂,略懂一二
12-07 1687
如何测试apk的安装包签名,这是安全测试其中一项; 安装包签名: jarsigner -verify -verbose -certs apk包路径 运行结果为“jar已验证”,说明签名校验成功
安全测试
guozy_u的专栏
02-03 147
测试工具简介: Tamper IE HTTP数据包修改、转发工具(Firefox插件) burpsuite Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。   测试方法简介: 1、订单操作...
ios 安装包安全测试
08-09
iOS安装包安全测试是为了保证应用程序在用户设备上的安全性和稳定性。下面是一些常见的iOS安装包安全测试项目: 1. 恶意代码检测:通过对安装包进行恶意代码扫描和分析,以确保应用程序没有包含恶意代码,以防止对用户设备和数据的攻击。 2. 代码完整性检查:通过验证应用程序的代码完整性,以确认它们没有被篡改或修改,从而保证应用程序没有被恶意攻击者植入恶意代码或后门。 3. 权限验证:检查应用程序在安装和运行请求的权限是否合理和符合规范,以防止应用程序滥用用户设备的权限,例如未经允许地访问联系人、位置信息等。 4. 数据保护检查:检查应用程序对用户数据的保护措施,包括使用正确的加密算法、安全存储用户数据、合理处理敏感信息等,以确保用户数据的安全。 5. 漏洞扫描:通过对应用程序进行漏洞扫描,发现和修复安全漏洞,以防止黑客利用这些漏洞进行攻击,例如XSS跨站脚本、SQL注入等。 6. 安全通信检查:确保应用程序与服务器之间的通信采用安全的协议和加密算法,以防止通信过程中的信息泄露或中间人攻击。 7. 安全认证和授权:检查应用程序的认证和授权过程,以确认只有合法用户才能访问和使用应用程序的功能和数据。 通过进行这些安全测试,可以及发现和修复应用程序的安全问题,保护用户设备和数据的安全,确保用户能够安全地使用应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值