路径遍历 android_移动安全之Android应用安全测试入门

最新推荐文章于 2024-03-17 22:43:54 发布
最新推荐文章于 2024-03-17 22:43:54 发布
阅读量230 收藏
点赞数
文章标签: 路径遍历 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35861708/article/details/113366090
版权
本文介绍了移动安全测试在Android应用中的重要性,详细阐述了应用完整性、数据存储安全、组件导出、本地SQL注入及目录遍历、allowbackup漏洞的检测方法。通过Apktool、adb、SignApk等工具,演示了测试过程,以帮助安全测试人员理解和判断应用的安全性。
摘要由CSDN通过智能技术生成

背景概况

近些年来随着移动互联网的大力发展,智能手机和移动通信变得越来越普及,移动安全显得越来越重要,所以移动安全测试变成了一个不可或缺的步骤。

相关测试标准

2.1 应用完整性的检测

测试应用程序客户端是否对自身完整性进行签名校验。攻击者能否通过反编译的方法获取应用的代码和应用资源,修改部分代码及文件后是否可以重新编译、签名并安装。

2.2 不安全的数据存储检测

测试应用程序文件及文件夹的权限、应用数据库的存储、日志文件的存储等是否存在不安全的情况。即重要文件及文件夹是否权限配置不合理、数据库的重要字段数据是否明文显示、日志文件对用户的输入、输出,应用程序运行时敏感数据的存储是否以明文的方式显示。

2.3 组件导出的检测

Android应用程序有各种组件组成,其中Activity(活动组件)、Service(服务组件)、Broadcast Receiver(广播组件)、Content Provider(内容组件)四大组件是应用程序的重要组件。通过反编译应用程序后,查看AndroidManifest.xml文件中的android:exported的属性值是否为True,并通过相应的工具来尝试启动组件判断组件是否可以导出。

2.4 本地SQL注入检测及目录遍历

在使用Content Provider时,提供了query接口。由于query传入的参数直接或间接由接口调用者传入,攻击者构造sql injection语句,也可通过接口遍历文件,造成信息的泄漏甚至是应用私有数据的恶意改写和删除。

2.5 allowbackup漏洞检测

检测AndroidManifest.xml文件中的android:allowBackup的属性值是否为false。如果该值true,攻击者可通过adb backup对应用的所有数据进行备份,从而导致数据泄露。

详细测试流程

3.1工具及环境的介绍

Apktool

Apktool是一个开源的Java工具,用于对Android应用程序进行逆向工程。用Apktool将应用程序反编译后,可以在其输出的结果上进一步加工,如修改资源文件或改变程序行为。例如,可以翻译其中的资源字符串,或者修改资源文件以改变该程序的主题。

在命令行模式下使用说明。

反编译:java –jar apktool.jar d apk文件名 -o 生成的路径位置

回编译:java –jar apktool.jar b –f 反编译后存放的文件夹名-o 生成新apk的文件名

SignApk

SignApk.jar是Android源码包中的一个签名工具SignApk.jar是一个已包含在Android平台源码包中的工具。如果要使用SignApk.jar,你需要创建一个带有对应证书公钥和私钥。

在命令行模式下使用说明。

签名命令:java –jar signapk.jar 公钥证书 私钥证书 签名之前的apk名字 签名之后的apk名字

Adb

adb(Android Debug Bridge),是一款Android开发和测试的工具,能与Android设备相连并且操控执行相关的命令。

adb常用命令列表

adb devices

查看当前连接的设备

adb start-server

开启ADB服务

adb kill-server

关闭ADB服务

adb connect [ip]

远程连接设备

adb disconnect [ip]

断开远程连接设备

adb push

上传文件到设备

adb pull

从设备上下载文件

adb logcat

显示打印设备运行日志

adb forward

端口转发

adb install [apk包名字]

安装apk

adb uninstall [apk包名字]

卸载apk

adb shell

进入设备的命令行界面

adb backup

备份应用数据

Drozer

Drozer是一款Android安全测试的框架,可以实现Android的一些公共的漏洞的检测,而且还可以生成shellcode,进行设备的远程exploit。

drozer常用命令列表

run app.package.attacksurface [apk包名]

确定安装包的可攻击面

run http://app.package.info [apk包名]

列出已安装包的信息

run http://app.activity.info [apk包名]

获取activity信息

run http://app.service.info [apk包名]

获取services信息

run http://app.broadcast.info [apk包名]

获取broadcast receivers信息

run http://app.provider.info [apk包名]

获取content providers信息

run app.activity.start [apk的activity组件名]

启动应用某activity组件

run scanner.provider.injection [apk包名]

检测SQL注入

run scanner.provider.traversal [apk包名]

检测遍历文件

Sqlite

许多Android应用程序使用SQLite数据库引擎来管理其私有的数据库或通过content provider暴露的接口来存储数据。因此,如果设备上有一个SQLite3二进制文件,以命令行的方式访问这些数据库就会变得很方便。在审计一些使用了 SQLite数据库的应用程序时,研究人员可以执行原始的SQL语句来检查或操作数据库。

sqlite常用命令列表

.databases

列出数据库的名称及其所依附的文件。

.quit

退出 SQLite 提示符

.help

显示消息。

.exit

退出 SQLite 提示符

.schema [表名]

显示数据库表结构

.dump [表名]

导出某个表的数据

.mode

设置显示模式

select * from table_name

查询输出所有数据记录

安卓模拟器

安卓模拟器是一款能运行在Windows、MacOs、Linux下的安卓设备仿真软件,可以模拟运行应用在真实的安卓设备中的运行状态。

3.2测试某应用程序的详细过程

使用Apktool工具对test.apk进行反编译,得到相应应用的反编译文件夹。

3dd0b38b95c9bd7b8df82b2d021fc028.png

随后对文件夹resdrawable-hdpi-v4下的deb_logo.png的进行修改替换。

a98b020390cdd149ef0ed621f18bcf08.png

替换前

0d4bc060c0647a20d769d67d0d3514ce.png

替换后

替换完成后进行回编译文件,并进行签名,

b37405d5f552bed5824fdc24433aa245.png

4038abcaaff1c24cbea93262575f838b.png

签名完成后,进行安装运行,但是应用无法正常运行,故判断应用达到完整性标准。

随后将原来的test.apk文件安装到模拟器中运行。

b67a46f842f4d95687fa967663a37d94.png

借助adb工具进行查看应用安装文件夹的文件权限分配及运行日志信息。借助adb devices命令查看可连接的安卓设备。

66f5a9fbe151d93777f3a5fcde12872a.png

并执行adb shell进入安卓设备的命令行界面

bbd51d82d30ca82dd6c7789b2958c4ab.png

找到应用所在的安装目录,并进入应用安装存放的所在目录

c707983dce290e52f48e387340ea7ea2.png

执行命令ls –lR

544e98592cfb1781fbd3c9e95d97c0a0.png

并查找一些敏感的目录,图中databases是一个存放数据文件的敏感目录,进入该目录查看数据的存储方式。

2149ab5c77b9a004167eaf3da2aba42e.png

使用sqlite3命令查看了ijm_db.db文件,结果提示file is encrypted or is not a database,说明数据库文件是加密的,是符合数据存储的标准的。

10ce2e91d4d62a85755b8677ecf73a0b.png

但是在权限分配的地方存在两处问题:

1、数据库的权限可被其他用户读取。

cfb491511131f84dc9ae95c8d54c35d8.png

2、某些xml结尾的文件也可被其他用户读取。

8fb4c561a59d64fe8590da28e7421fe5.png

接下来执行adb logcat命令查看应用运行时的日志是否存在敏感的信息泄露问题。

f3ac36f7a4b09e1264cbc8a86e3ab19b.png

观察了应用输入地方产生的日志,未发现敏感的信息显示出来。

接着进入drozer控制台界面,执行drozer console connect命令可连接安卓设备。

执行run app.package.attacksurface cn.com.htjc.pay查询下应用的攻击面,可查到应用有4个活动组件可导出,6个广播组件可导出。

7a371fffa7ea353b530a474793444c6d.png

另外也可以通过查询应用反编译后的AndroidManifest.xml文件中的android:exported字段值为true得到可导出的组件信息。

e19a8df44f69e1b4ee5f44f789160a69.png

接下来进一步获取activity可导出组件的名称,执行run http://app.activity.info –a cn.com.htjc.pay

b65f9d69b9e17f8c1d2cd10cb055c970.png

执行命令run app.activity.start –commponent cn.com.htjc.pay [activity组件的名字],依次执行运行每个活动组件,发现一处查询activity组件未授权访问。

80ba0e2f50b2540f3eda1ac3e60f78c0.png

fa8ea56e83a044dc65f50c9fdc7fc2e7.png

查询是否存在本地SQL注入,执行命令run scanner.provider.injection –a cn.com.htjc.pay

f7210bf21310289ecdea20e1df37e69b.png

工具drozer未查询到可注入的地方。

查询是否存在遍历文件的漏洞,执行命令run scanner.provider.traversal –a cn.com.htjc.pay

eba5bc1f3727106a2a9e75628a35b671.png

工具drozer也未查询到存在遍历的地方。

接着检查应用反编译包中的AndroidMainfest.xml的值是否为false,打开该文件,通过查找关键字android:allowBackup,发现该值为false。

fd4f54a76476a26b297d706914444541.png

判断该应用未存在allowbackup漏洞。

总结

结合实际的操作演示,能让安全测试人员有效的理解每个Android测试标准,也具备判断某应用APP是否存在相应的漏洞。本文只是举例了几种常见类型的漏洞及其判断标准进行描述说明,实际工作环境中,安全测试人员应该发散思维去测试应用APP,要不断地在移动安全测试的道路上探索成长。

江涛校泵
关注
[车联网安全自学篇] Android安全移动安全测试指南「移动安全测试基本原理」
橙留香Park的博客
02-02 460
[车联网安全自学篇] Android安全移动安全测试指南「移动安全测试基本原理」;在接下来的部分中,我们将简要介绍常规安全测试原则和关键术语。所介绍的概念与其他类型的渗透测试中的概念基本相同,所以如果你是经验丰富的渗透测试人员,你可能会熟悉其中的一些内容移动APP安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁在整个指南中,我们将 “移动应用安全测试” 作为一个综合名词,指的是通过静态分析和动态分析对移动应用安全进行评估。例如:“移动应用渗透测试” 和 “移动应用安全分析
移动App 安全测试
aovenus的专栏-测试新时代(微信公众号:测试新时代)
02-19 2576
移动APP安全测试
阳光灿烂的日子的博客
05-10 391
移动APP安全测试 https://www.cnblogs.com/yinlili/p/9883189.html
对于APP安全性测试策略的思考
piooix的博客
11-30 483
随着互联网发展,APP应用的盛行,最近了解到手机APP相关的安全性测试。目前手机App测试还是以发现bug为主,主要测试流程就是服务器接口测试,客户端功能性覆盖,以及自动化配合的性能,适配,压测等,对于App安全性测试貌似没有系统全面统一的标准和流程,其实安全性bug也可以是bug的一种,只不过更加隐秘,难以发现,尤其针对于手机App。   特别是以webview为主体的app,先简单说说,站
移动app安全测试怎么做?
07-07 356
移动App安全测试是确保移动应用程序在设计、开发和实施过程中不会出现安全漏洞或风险的过程。 以下是进行移动App安全测试的一般步骤: 1. 安全需求分析 首先,了解应用程序的安全需求和预期的威胁模型。这将帮助测试人员聚焦于关键的安全漏洞和风险。 2. 设计审查 检查应用程序设计文档并评估其安全性。确保应用程序在设计层面上已经考虑了保护用户数据和阻止攻击的措施。 3. 安全测试计划制定 制定详细的测试计划,包括测试的范围、目标、方法和资源。根据应用程序的特点和安全需求,确定要测试的各个方面。
Appium自动化测试与自动遍历测试入门 - 使用AppCrawler自动遍历测试应用
Appium是一种开源的移动应用自动化测试工具,它允许测试人员使用同样的API来编写iOS和Android原生应用的自动化测试脚本。与其他自动化测试工具相比,Appium具有跨平台、无需修改应用代码、支持多种编程语言(如...
Android渗透测试入门教程v2017.2试读陆小马功钟浩.pdf
09-14
Android渗透测试是针对安卓设备的一系列安全检查,由于安卓系统的广泛应用,尤其是在移动设备上的使用,使得这些设备中存储有大量敏感的个人信息和商业信息,这使得它们成为黑客攻击的目标。安卓设备的安全隐患包括...
Appium自动化测试与自动遍历测试入门 - 学习AppCrawler进行自动遍历测试
Appium是一款开源的移动应用自动化测试工具,支持iOS、Android和Windows平台上的原生应用、混合应用移动网页应用。它使用WebDriver协议来驱动各种移动应用,从而让测试人员可以使用各种编程语言(如Java、Python
Appium自动化测试与自动遍历测试入门 - 掌握Appium入门基础
Appium是一款开源的移动应用自动化测试框架,可以用于测试原生、混合和移动Web应用程序。它使用WebDriver协议来驱动iOS和Android应用程序。Appium支持多种编程语言,包括Java、Python、JavaScript等,能够跨平台运行...
Appium自动化测试与自动遍历测试入门 - 学习AppCrawler自动遍历工具
# 1. 自动化测试简介 ## 1.1 什么是自动化测试? 自动化测试是使用脚本和工具来自动执行...Appium是一种用于移动应用程序的自动化测试框架,支持iOS、Android和Windows平台上的原生应用、混合应用移动Web应用的自
ADB-Backup-APK-Injection:Android ADB备份APK注入POC
05-22
ADB备份APK注入 匈牙利SEARCH-LAB Ltd.的Imre Rad发现并创建了POC,这是Android ADB备份APK注入漏洞。 什么是ADB备份/还原? Android操作系统通过ADB实用程序提供了已安装软件包的备份/还原机制。 默认情况下,将对应用程序进行完整备份,包括/ data中存储的私有文件,但是可以通过实现类来自定义此行为。 这样,应用程序可以使用自定义文件和数据为备份过程提供数据。 创建的备份文件是一个简单的压缩tar存档,其中包含一些Android特定的标头。 可选的加密也是可能的。 APK注入漏洞 调用自定义BackupAgent的备份管理器不会筛选应用程序返回的数据流。 在备份过程中执行BackupAgent时,无需用户的同意即可将其他应用程序(APK)注入备份档案中。 BackupAgent不需要Android权限。 恢复备份归档文件后,系统会以升级
[车联网安全自学篇] Android安全之常规移动安全测试指南
橙留香Park的博客
02-02 379
[车联网安全自学篇] Android安全之常规移动安全测试指南;术语 “移动应用” 是指一种独立的计算机程序,被设计用于执行在移动设备上。如今,Android和iOS操作系统累计占到了以上。另外,移动互联网的使用在历史上首次超过了传统桌面系统的使用,使移动浏览和移动应用程序成为在常规移动安全测试指南中,我们将使用 “应用程序” 这一术语作为泛指在流行的移动操作系统上运行的任何类型的应用程序从基本意义上讲,应用程序被设计为直接在其设计的平台上运行,或在智能设备的移动浏览器上运行,或两者皆有。
软件测试之路径遍历漏洞的防范与检测
10-24 4673
路径遍历漏洞是什么? 为了识别位于受限的父目录下的文件或目录,软件使用外部输入来构建路径。由于软件不能正确地过滤路径中的特殊元素,能够导致访问受限目录之外的位置。 许多文件操作都发生在受限目录下。攻击者通过使用特殊元素(例如,“…”、“/”)可到达受限目录之外的位置,从而获取系统中其他位置的文件或目录。例如 …/ 作为一种常见的特殊字符串,在大多数操作系统中被解释为当前位置的父目录,这种使用特殊元素…/的路径遍历漏洞又被称为相对路径遍历路径遍历还包括使用绝对路径名(如 /usr/local/bin ),用
android手机遍历安装应用
weixin_33704591的博客
11-25 128
/** * 遍历程序列表,判断是否安装安全支付服务 * * @return */ public boolean isMobile_spExist() { PackageManager manager = mContext.getPackageManager(); List<PackageInfo> pkgList = manager.getInstalledPackage...
android adb备份应用数据,Android adb命令备份恢复手机信息
weixin_28958733的博客
05-26 1万+
假设你已经在Windows下安装了Android SDK,并且更新到最新版步骤:1.通过USB连接你的设备,打开命令行2.一般地,输入”adb devices“检测设备是否连接正常有个命令“ adb backup”(简化写法)可以使你备份整个系统。这个命令的参数如下:adb backup [-f ] [-apk|-noapk] [-shared|-noshared] [-all] [-system...
全面复盘Android开发者容易忽视的Backup功能 _ 创作者训练营第二期
最新发布
m0_60144796的博客
03-17 868
当我们遇到Backup定制任务的时候认真思考下需求再对症下药。为使得这个流程更加直观,做了个流程图分享给大家。
android:allowBackup=true 数据备份(adb backup)+查看(abe unpack backup.ab backup.tar)+恢复(adb re)
tuhuolong的专栏
09-11 6214
备份 adb backup -nosystem -apk com.xiaomi.smarthome查看 abe unpack backup.ab backup.tar恢复 adb restore
ADB常用命令及其用法大全
热门推荐
手写我对你的温柔
02-23 50万+
前言: 本文主要记述ADB的常用命令,关于ADB用法大全,可参考文末链接 ADB简介: ADB,即 Android Debug Bridge,它是 Android 开发/测试人员不可替代的强大工具,也是 Android 设备玩家的好玩具。安卓调试桥 (Android Debug Bridge, adb),是一种可以用来操作手机设备或模拟器的命令行工具。它存在于 sdk/platform-to...
目录遍历漏洞防范与安全测试策略
"目录遍历-安全性测试初步接触"是一篇关于网络安全测试中的一个重要概念,主要关注于Web应用程序的安全性问题,特别是对目录遍历漏洞的识别与防范。目录遍历是一种常见的Web应用程序安全漏洞,它允许攻击者通过恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值