路径遍历 android_移动安全之Android应用安全测试入门

最新推荐文章于 2024-03-17 22:43:54 发布

江涛校泵

最新推荐文章于 2024-03-17 22:43:54 发布

阅读量230

点赞数

文章标签：路径遍历 android

本文链接：https://blog.csdn.net/weixin_35861708/article/details/113366090

版权

本文介绍了移动安全测试在Android应用中的重要性，详细阐述了应用完整性、数据存储安全、组件导出、本地SQL注入及目录遍历、allowbackup漏洞的检测方法。通过Apktool、adb、SignApk等工具，演示了测试过程，以帮助安全测试人员理解和判断应用的安全性。

摘要由CSDN通过智能技术生成

背景概况

近些年来随着移动互联网的大力发展，智能手机和移动通信变得越来越普及，移动安全显得越来越重要，所以移动安全测试变成了一个不可或缺的步骤。

2.1 应用完整性的检测

测试应用程序客户端是否对自身完整性进行签名校验。攻击者能否通过反编译的方法获取应用的代码和应用资源，修改部分代码及文件后是否可以重新编译、签名并安装。

2.2 不安全的数据存储检测

测试应用程序文件及文件夹的权限、应用数据库的存储、日志文件的存储等是否存在不安全的情况。即重要文件及文件夹是否权限配置不合理、数据库的重要字段数据是否明文显示、日志文件对用户的输入、输出，应用程序运行时敏感数据的存储是否以明文的方式显示。

2.3 组件导出的检测

Android应用程序有各种组件组成，其中Activity（活动组件）、Service（服务组件）、Broadcast Receiver（广播组件）、Content Provider（内容组件）四大组件是应用程序的重要组件。通过反编译应用程序后，查看AndroidManifest.xml文件中的android:exported的属性值是否为True，并通过相应的工具来尝试启动组件判断组件是否可以导出。

2.4 本地SQL注入检测及目录遍历

在使用Content Provider时，提供了query接口。由于query传入的参数直接或间接由接口调用者传入，攻击者构造sql injection语句，也可通过接口遍历文件，造成信息的泄漏甚至是应用私有数据的恶意改写和删除。

2.5 allowbackup漏洞检测

检测AndroidManifest.xml文件中的android:allowBackup的属性值是否为false。如果该值true，攻击者可通过adb backup对应用的所有数据进行备份，从而导致数据泄露。

详细测试流程

3.1工具及环境的介绍

Apktool

Apktool是一个开源的Java工具，用于对Android应用程序进行逆向工程。用Apktool将应用程序反编译后，可以在其输出的结果上进一步加工，如修改资源文件或改变程序行为。例如，可以翻译其中的资源字符串，或者修改资源文件以改变该程序的主题。

在命令行模式下使用说明。

反编译：java –jar apktool.jar d apk文件名 -o 生成的路径位置

回编译：java –jar apktool.jar b –f 反编译后存放的文件夹名-o 生成新apk的文件名

SignApk

SignApk.jar是Android源码包中的一个签名工具SignApk.jar是一个已包含在Android平台源码包中的工具。如果要使用SignApk.jar，你需要创建一个带有对应证书公钥和私钥。

在命令行模式下使用说明。

签名命令：java –jar signapk.jar 公钥证书私钥证书签名之前的apk名字签名之后的apk名字

Adb

adb（Android Debug Bridge），是一款Android开发和测试的工具，能与Android设备相连并且操控执行相关的命令。

adb常用命令列表

adb devices

查看当前连接的设备

adb start-server

开启ADB服务

adb kill-server

关闭ADB服务

adb connect [ip]

远程连接设备

adb disconnect [ip]

断开远程连接设备

adb push

上传文件到设备

adb pull

从设备上下载文件

adb logcat

显示打印设备运行日志

adb forward

端口转发

adb install [apk包名字]

安装apk

adb uninstall [apk包名字]

卸载apk

adb shell

进入设备的命令行界面

adb backup

备份应用数据

Drozer

Drozer是一款Android安全测试的框架，可以实现Android的一些公共的漏洞的检测，而且还可以生成shellcode，进行设备的远程exploit。

drozer常用命令列表

run app.package.attacksurface [apk包名]

确定安装包的可攻击面

run http://app.package.info [apk包名]

列出已安装包的信息

run http://app.activity.info [apk包名]

获取activity信息

run http://app.service.info [apk包名]

获取services信息

run http://app.broadcast.info [apk包名]

获取broadcast receivers信息

run http://app.provider.info [apk包名]

获取content providers信息

run app.activity.start [apk的activity组件名]

启动应用某activity组件

run scanner.provider.injection [apk包名]

检测SQL注入

run scanner.provider.traversal [apk包名]

检测遍历文件

Sqlite

许多Android应用程序使用SQLite数据库引擎来管理其私有的数据库或通过content provider暴露的接口来存储数据。因此，如果设备上有一个SQLite3二进制文件，以命令行的方式访问这些数据库就会变得很方便。在审计一些使用了 SQLite数据库的应用程序时，研究人员可以执行原始的SQL语句来检查或操作数据库。

sqlite常用命令列表

.databases

列出数据库的名称及其所依附的文件。

.quit

退出 SQLite 提示符

.help

显示消息。

.exit

退出 SQLite 提示符

.schema [表名]

显示数据库表结构

.dump [表名]