android app系统的测试_【干货】Android之APP安全测试

最新推荐文章于 2024-04-30 15:33:12 发布
最新推荐文章于 2024-04-30 15:33:12 发布
阅读量392 收藏 2
点赞数
文章标签: android app系统的测试

‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍0x00:简介‍‍‍

    偶遇app安全测试,然,记录下所用到的笔记。乃,分享心得,做记录之用!

‍0x01:信息获‍取

1、基础信息获取(这里用一个邮箱的app做演示)

利用工具(APK-Info v0.2)

2a7d71b9e04f8ef995107897f1725f7d.png

2、查壳

利用工具(ApkScan-PKID)

9820627023bbd80628df5d26a2aeff0f.png

3、证书与签名的查看

利用工具(apktool)

f28f5bc01c8715f131a1d9f4b06253ce.png

注:jre默认安装apktool,只需要在当前目录执行CMD就可以调用运行

首先要把apk的后缀名改为rar

解压找到rsa后缀的文件

c1ca801ee0e7acd7a525f133157dd1ed.png

这个RSA文件挺难找的,汗。

keytool -printcert -file rsa文件地址

4f027cb4ef9ffdf392f3753462bdb501.png

4、源码查看

利用工具(AndroidKiller)

ab8d37842402edb7a034a45a6cb01eef.png

5、组件查看

android四大组件

ActivityServiceContent providerBroadcast receiver

Activity组件

    反编译 apk 文件,在AndroidManifest.xml 中查找Activity组件

1、当Activity返回数据时需关注目标Activity是否有泄露信息的安全风险。

2、验证所对应的目标Activity是否恶意App,规避受到intent欺骗,可用hash签名作为验证。

3、签名验证其内部(in-house)App。

Service组件

    反编译 apk 文件,在AndroidManifest.xml 中查找配置了 intent-filter 的 action值的,或者显示设置了android:exported="true"的。

android:exported

Service组件的设置错误可以被第三方APP任意调用,导致敏感信息泄露,并可能受到权限提升、拒绝服务等安全风险

Content provider组件

    反编译 apk 文件,在AndroidManifest.xml 中查找content provider组件查看

android:exported

content provider该属性的配置错误可以被其他第三方程序任意调用。

当Content Provider组件可以被第三方app任意调用时,会导致敏感信息泄露,并可能受到目录遍历、SQL注入等攻击等安全风险。

Broadcast receiver组件

通常是用来处理系统级事件的组件

    反编译 apk 文件,在 AndroidManifest.xml 中查找配置了 intent-filter 的 action 值的,或者显示设置了 android:exported="true" 的。

Broadcast receiver该属性的配置错误可能会导致敏感信息泄漏,本地拒绝服务器漏洞、有序广播导致的安全问题。

0x02:测试框架‍‍

    推荐一个:移动安全漏洞测试框‍架(MobSF)是一种自动化的多合一移动应用程序(安卓/苹果/PC端)可以进行静态动态分析的安全测试,恶意软件分析和安全评估框架。

‍‍

https://github.com/MobSF/Mobile-Security-Framework-MobSF

Docker下的MobSF的安装与运行

docker pull opensecurity/mobile-security-framework-mobsfdocker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest

‍‍

242491b73d3236429f1afb592398c6e2.png

35aa1bd1ae71b8ca4e3a98bf54b83a51.png

谷歌自带翻译,有点乱

该工具还支持动态分析

0x03:ADB测试

推荐工具(Drozer)

Drozer是一款Android安全测试框架。

是目前最好的Android安全测试工具之一。

https://labs.f-secure.com/tools/drozer/

    安卓手机安装drozer Agent工具,并打开Embbdded Server,下一步需要让电脑连上手机的agent,默认可以看到手机端默认端口开启的是31415795d4465a8d80f25c7f872c24e779e7d.png

这时候在电脑上cmd下输入:  

adb forward tcp:31415 tcp:31415

  正常情况应该是这样:

02a6561adb53fa78726c689ddec3aa7f.png

操作详细请参考

http://www.360doc.com/content/15/0228/04/21863855_451377867.shtmlhttps://www.cnblogs.com/bluesky4cn/p/4269031.html

部分模块功能如下:

40599626a37fe2af10759de48a7990df.png

0x04:抓包测试

推荐工具(Burp Suite)

085c401a517ca8a8a2b408fdaf976c4c.png

手机设置完代理

抓到app的数据包后

类似于PC版本web端抓包测试。

3a28e804a75afb27e3bdac7edb4fa187.png

手机挂上代理,设置好爬虫网址

手机不断的去点击app的所有功能点

116bc1d058a3128969b894aa456606fc.png

BP就能爬去APP的一大部分网址链接,再利用BP的扫描器扫描

b23d7f85b36c4fc6cf3f65aa4abaade4.png 点个在看,让更多人受益
weixin_39847945
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android-本App是基于谷歌推出的AndroidJetpack架构组件的干货集中营
08-13
App是基于谷歌推出的Android Jetpack架构组件的干货集中营, app功能很简单, 基本上是针对 LiveData ViewModel Navigation Paging 的MVVM的练手demo,更多的强大功能,请参考google的官方api
android 存储作假,对《纯活人伪造一个Android Killer或APK IDE或apktool反编译失败》的一点讨论...
weixin_39629617的博客
05-26 291
法王遇到的问题平时也遇到过,作为小白,也想参与讨论一下心得,奈何不知道怎么在回帖的时候插入图片,所以另起一个帖子 。遇到的这个问题,个人觉得其实是反编译软件对多dex的app支持的问题。具体问题是插件本身不支持,还是插件已经支持了,但软件本身没有更新不支持,因为知识储备不够,无法得出结论。一.测试androidkiller反编译结果:1.jpg (88.67 KB, 下载次数: 0)2018-1-...
Androidkiller,apktool、dex2jar、jd-gui安装、设置及使用教程
yua7190的博客
08-19 5298
第一次学习这四种工具,浏览了很多帖子,总结一下,个人感觉很实用的帖子。 一、Androidkiller https://www.52pojie.cn/thread-726176-1-1.html 这篇帖子基本很详细的从jdk的安装到环境变量的设置,到安装到下载,以及会遇到的问题,解决办法都很详细了,没有之一,强推! 二、apktool https://blog.csdn.net/TheM...
Android)安卓性能测试详解!
最新发布
04-30 728
App本身性能数据获取(cpu 内存 帧率 启动时间 流量 电量)Monkey随机压力测试(android手机压测)01、Android SDK、Android SDK,即Android Software Development Kit,是android的软件开发工具包。它提供了在Windows/Linux/Mac平台上开发Android应用的开发组件。包含了在Android平台上开发移动应用程序的各种工具集。
APP应用安全测试
m0_68271895的博客
02-27 941
中国信息通信研究院发布的《移动应用数据安全与个人隐私保护白皮书(2019年)》显示,67%的App 存在5个及以上个人信息安全问题,18.5%的App 存在10个及以上个人信息安全问题。超过四成App的问题集中在未公开收集使用规则、未明示收集使用目的、超范围收集个人信息等5类问题上。 APP数据安全的检测,重点在对个人隐私保护上的检测。主要分为:隐私协议合规性、收集及使用个人信息合规性、权限申请及使用合规性、风险行为四部分。
最佳的10款App安全测试工具
Python_0011的博客
04-06 1363
Veracode 的 MAST(移动应用程序安全测试)服务可以确定移动 App 中的安全问题,并立即采取行动解决问题。它能提供诸如移动 app 安全测试、web app 安全测试和基于计算机的培训解决方案等服务。对 App 开发者或开发团队而言,需要最好的移动 App 安全测试工具来确保 app 安全。它提供领先的技术覆盖范围,可对移动 App 进行360°的安全性测试。QARK 由领英开发,它是一款静态代码分析工具,可提供有关 Android App 安全威胁的信息,并给出简洁明了的问题描述。
android app安全性测试,Android app安全性能测试
weixin_35940165的博客
05-27 295
Android app安全性能测试》由会员分享,可在线阅读,更多相关《Android app安全性能测试(2页珍藏版)》请在人人文库网上搜索。1、Android app安全性能测试1.安装包测试(1)能否反编译代码(源代码泄露问题):开发:对代码进行混淆;测试:使用反编译工具进行查看源代码,是否进行代码混淆,是否包括了显而易见的敏感信息(2)安装包是否签名(ios重app有正式的发布证书签名,不...
Android-Better20188888888~集干货音乐视频打卡于一体的app
08-13
Better 20188888888~集干货、音乐、视频、打卡于一体的app
Android-干货集中营Gank.ioAndroid客户端
08-13
干货集中营Gank.io Android客户端
Android-RxGank干货集中营Android客户端
08-13
RxGank 干货集中营Android客户端
Android-基于干货集中营接口的客户端采用RetrofitRxJavaMVP架构
08-13
基于干货集中营接口的客户端,采用Retrofit RxJava MVP 架构
androidkiller 1.3.1 2019更新版
04-12
androidkiller 1.3.1 2019更新版 更新apktool2.4.0 更新dex2jar2.1 更新jd-gui1.4.2 ,解决编译源码卡死.
移动APP安全测试
weixin_43639443的博客
11-27 2821
1.移动APP安全风险分析* 1.1 安全威胁分析 安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。 1.2 面临的主要风险 1.3 Android测试思维导图 1.4 反编译工具 有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是...
安卓逆向_2 --- Androidkiller,apktool、dex2jar、jd-gui、jadx反编译工具 的 安装、设置及使用教程...
墨鱼菜鸡
07-11 3833
From:https://www.52pojie.cn/thread-726176-1-1.html 爱盘 - 在线 PJ 工具包:https://down.52pojie.cn/ 哔哩哔哩 :https://www.bilibili.com/video/BV1UE411A7rW?p=6 Android反编译工具的使用-Android Killer...
Android测试方法汇总,助力打造完美应用
宾有为的博客
04-07 937
本文围绕着Android应用的测试方法进行了汇总和总结,旨在为开发者提供助力,帮助他们打造完美的应用。文章介绍了常见的测试方法,包括单元测试、集成测试、UI测试等,详细阐述了各种测试方法的特点和适用场景。此外,文章还提供了一些实用的测试工具和技巧,如JUnit、Espresso、Mockito等,帮助开发者更高效地进行测试
关于遍历Android手机中应用的问题
La0sj的博客
03-09 599
先拿到应用列表List v3 = arg5.getPackageManager().getInstalledPackages(0);然后遍历这个列表,即可获得所以手机在安装的应用 但是有时候为了区分系统应用还后来安装的应用,可以使用如下办法:ApplicationInfo appInfo = p.applicationInfo; /** * Value for {@link #f
android Content provider 组件
cache007的专栏
12-10 467
Content Provider 属于Android应用程序的组件之一,作为应用程序之间唯一的共享数据的途径,Content Provider 主要的功能就是存储并检索数据以及向其他应用程序提供访问数据的借口。      Android 系统为一些常见的数据类型(如音乐、视频、图像、手机通信录联系人信息等)内置了一系列的 Content Provider, 这些都位于android.prov
2023 年 18 种最佳 Android 测试工具
热门推荐
卓码测评
04-17 1万+
Android 应用测试是用于确保应用质量和​​状态的指标。结果可用于深入了解预期行为。它包括多个方面,例如跨不同操作系统、浏览器和设备组合等测试 Android 应用程序。它给出了用户可能遇到的问题的要点,无论是错误还是性能问题等等。
Android 性能测试这样做,新手离开挂人生也不远了
hdbdhdbh的博客
09-15 442
如果你看到了这里,觉得文章写得不错就给个赞呗?如果你觉得那里值得改进的,请给我留言。一定会认真查询,修正不足。更多Android进阶指南 可以扫码 解锁《Android十大板块文档》1.Android车载应用开发系统学习指南(附项目实战)2.Android Framework学习指南,助力成为系统级开发高手3.2023最新Android中高级面试题汇总+解析,告别零offer4.企业级Android音视频开发学习路线+项目实战(附源码)
android app性能测试 csdn
11-06
CSND是一个知名的技术社区网站,提供了丰富的技术资源,其中包括Android App性能测试的相关内容。 Android App性能测试是在开发或发布Android应用程序之前,对其进行全面评估和优化的过程。通过进行性能测试,可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值