android系统安全测试,Android 安全测试初探 (二)

最新推荐文章于 2024-05-08 06:40:25 发布
最新推荐文章于 2024-05-08 06:40:25 发布
阅读量196 收藏
点赞数
文章标签: android系统安全测试

上回大体介绍了下安全测试的一些基本测试项,现在我们就细则方面来一一阐述

首先我们来说说检查这个大项,可能大家看到检查项只有寥寥的几个,但是要查的东西还真不少

文件权限

一般我们需要检查 apk 所生成的文件,这里我们需要检查 2 种模式下安装的 apk

adb install

adb push

使用一段时间,需要遍历所有功能,这样才会生成所有需要检查的文件,一般检查文件路径如下 2 个

/data/data/packageName

/sdcard/Android/data/packageName

当然有些 apk 还会在 sdcard 上面的其他路径生成文件,这个也是需要检测的,这里我们对文件做如下检测:

权限检测 —— 检测文件的权限所属关系,通过 ls-l 来遍历,查看有哪些文件是否包含允许第三方读写权限

内容检测 —— 打开所有文件,查看内容是否涉及到个人数据及隐私数据,是否加密处理

apk 运行权限

这里我们需要安装 apk 后,安装方法有 2 种,如上所述,运行 apk 后,通过 ps 来查看 apk 的运行用户是什么

apk 权限

这里可以使用反编译的方式查看 apk 申请了哪些权限

日志

这里查看 apk 运行期间所打印的日志,通过 logcat 命令来查看

报文

这里查看 apk 在运行期间所有跟网络交互产生的报文,通过 tcpdump、fiddle2、wireshake 等工具均可

好了,今天先说到这里,下回继续说其他的

投机启示录
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android 安全测试思路总结(攻击面)
Venscor技术养成之路
02-12 8762
Android攻击面
华为android系统测试用例
04-09
华为android系统测试用例
安卓系统启动安全
iffy
11-16 1576
Bootloader
Android安全测试用例(网络资源学习记录)
天在等我,菜鸟想飞
12-30 7162
数字签名检测 C:\Program Files\Java\jdk1.8.0_111\bin\jarsigner.exe -verify APK 文 件 路 径 -verbose –certs 当输出结果为“jar 已验证”时,表示签名正常 检测签名的 CN 及其他字段是否正确标识客户端程序的来源和发布者身份 如上图,说明测试结果为安全。 要说明的是,只有在使用直接客户的证书签名时,才认为安全。 Debug 证书、第三方(如 开发方)证书等等均认为风险。 反编译检测 把 apk 当成 zip
2024年最全3分钟了解Android中稳定性测试,2024年最新分享复习经验和后台开发面经
最新发布
2301_82244182的博客
05-08 234
点击Path,将platform-tools文件所在路径添加到环境变量中,例如:“E:\android-sdk-windows\platform-tools”添加到变量值中,与之前的变量值用分号隔开。下载安装完成后,鼠标右击“计算机”-》属性-》高级系统设置-》环境变量-》3、可对MonkeyTest的对象,事件数量,类型,频率等进行设置。2、Monkey测试使用的事件随机流是随机的,也可以进行自定义。1、测试的对象仅为应用程序包,有一定局限性。1、应用程序崩溃或接收到任何失控异常。
3分钟了解Android中稳定性测试
qq_53071851的博客
05-24 255
一、什么是Monkey,Monkey在英文里的含义是猴子,在测试行业的学名叫“猴子测试”,指的是没有测试经验的人甚至是根本不懂计算机的人(就像一只猴子),不需要知道程序的任何用户交互方面的知识,给他一个程序,他就会对他看到的任何界面进行操作,当然操作是无目的的、随便乱按乱点的,这种测试在产品周期的早期阶段会很有效,为用户节省了很多时间。Monkey 是 Android平台提供的一种自动化测试方法,它会随机的模拟发送各种按键,点击,滑动等用户事件来实现压力测试。看系统版本是否稳定,能否持续的为用户提供服务
手把手教你Android标准App的四大自动化测试法宝
wetest_tencent的博客
09-01 1942
作者:Ringoyan,腾讯测试开发工程师。先后为植物大战僵尸Online,糖果传奇等游戏担任测试经理,其负责的“我叫MT2”测试项目曾获腾讯互动娱乐精品文化奖银奖。目前担任腾讯WeTest测试经理。擅长领域:App的自动化测试和Web的安全测试工作。商业转载请联系腾讯WeTest获得授权,非商业转载请注明出处。WeTest导读说起Android的自动化测试,相信有很多小伙伴都接触过或者有所耳闻,...
1.Android稳定性测试
weixin_45246215的博客
03-27 968
可以通过关键字对采集的日志进行搜索、通过PowerShell或cmd命令窗口或android studio的日志输出进行确认,可以结合抓包工具、kibana等日志进一步确认业务请求的情况。稳定性测试过程中APP端没有出现ANR、Crash和任意Exception及OOM等情况(含日志),以及不存在业务请求的异常、客户端操作的异常等。firebase监控到的异常:----这个平台监控的数据不够精准,有发现顶部统计数据不对齐的情况以及客户端获取到崩溃但是这里没有捕获到的情况。
物联网安全实验2-Android程序逆向分析
taylorswift的博客
07-07 1645
一、 实验目的 1.理解Android APK的结构; 2.掌握Android程序逆向的基本方法;、 实验环境  虚拟机环境:VMware Workstation Pro  操作系统:Win10  实验工具: Android Killer三、 实验原理及背景APK Android应用程序包(Android application package,APK)是Android操作系统使用的一种应用程序包文件格式,用于分发和安装移动应用及中间件。其构造方式与JAR文件类似,是一种基于ZIP文件格式的文件。一
安卓安全测试
fengmoon的博客
08-24 724
drozer是一款针对Android系统安全测试框架。它提供了很多安卓平台下的渗透测试。通过攻击测试,暴露安卓app的漏洞 这里以应用sieve为应用,来讲解drozer的使用。 1 首先在PC端安装服务端,然后在手机上安装客户端 2 开启客户端的开关,进入drozer的路径,输入转发 adb forward fcp:31415 fcp:31415
安卓系统app安全测试.zip
09-11
android安全测试框架(drozer:从零开始搭建及过程中的应用均下载打包在内,另有使用教程)
Android安全测试
Meng
12-28 3954
目录 1、客户端APP安全 2、服务端安全 3、通信安全(通信保密性) 1、客户端APP安全 (1)反编译-APP加密或者代码混淆或者加壳处理 (2)防次打包-验证APP签名-获取次打包后APP的签名与正确的AP签名进行对比 (3)组件导出 Ativity组件-检测组件是否可以被外部应用调用 Service组件-检测组件是否可以被外部应用调用 content provider组件-检测组件是否可以被外部应用调用 Broadcast receiver组件-检测组件是否可以被外部应用
浅谈Android测试技术
晃荡半瓶醋的博客
02-15 3353
一、前言 对于大多数的android商业项目,android开发人员大多都处于功能快速迭代的功能研发和bug修复的循环中,对功能的测试基本都交给专门的测试人员来进行测试,但是我认为,了解和学习android测试相关的技术,为核心代码编写单元测试和自动化测试还是很有必要,能够在版本发布前,代码重构时快速的回归测试,保证代码的正确运行,提高测试的效率。 对于开发人员常用的android测试技术,基本可以分为两类,一类是单元测试,一类是自动化测试。下面将分别对两类测试进行一次粗浅的介绍和分享。 、单元测试
手机App安全性测试初探
weixin_33712987的博客
07-03 392
目前手机App测试还是以发现bug为主,主要测试流程就是服务器接口测试,客户端功能性覆盖,以及自动化配合的性能,适配,压测等,对于App安全性测试貌似没有系统全面统一的标准和流程,其实安全性bug也可以是bug的一种,只不过更加隐秘,难以发现,尤其针对于手机App。近期时间比较充裕,研究了一下安全性相关的东西,并对于我们自身的产品测试了一下(更主要的目的...
【手机端测试的关注点】Android 和 IOS 两大主流系统测试点
weixin_55018452的博客
03-22 4352
文章目录前言一、概念架构以及主要区别、功能测试三、安装与卸载测试四、登录测试五、安全性测试——权限测试六、消息推送测试七、前后台切换测试八、UI 测试九、兼容性测试十、网络环境测试十一、性能测试十、monkey 测试总结 前言 对于手机端测试,按照平台来分,分为 Android 和 IOS 两大主流系统; ●🧑个人主页:Damon7575 ●📃欢迎点赞👍关注💡收藏💖 ●📖既选择了远方,便只顾风雨兼程。 ●🤟欢迎大家有问题随时私信我! ●🧐版权:本文由[ Damon7575 ]原创,CSDN首发,侵权
Android操作系统安全
移动编程
04-27 395
Android在迅猛发展的同时,其安全问题一直没有引起足够的重视,但在2010年6月研究人员发布Android平台的KernelRootkit以来,Android平台的安全问题引来了越来越多的关注,而同时,Android平台的恶意软件也开始流行起来。[3] 根据以上的Android系统架构分析,可以发现在三个层面可能存在恶意软件。分别是处于最高位置的应用层(Applications),...
android 自动刷量开发_Android渗透测试神器大全
weixin_39700063的博客
12-11 520
Android安全测试更多的被安全行业人员用来测试Android应用程序中的漏洞。下面为大家准备了近乎全面的Android渗透测试工具和资源列表,涵盖了在Android手机上所以执行的渗透测试操作。在线分析AndroTotalTracedroidVisual ThreatMobile Malware SandboxAppknox – 非免费;IBM Security AppScan Mo...
安卓系统的开发与测试
12-06 2934
相信大家对Android的发展历史多少都有一些了解,下面以一张图片来对其发展史一个概括。Android曾经是一家创立于旧金山的公司的名字,该公司于2005年8月份被Google收购,并从此踏上了飞速发展的道路。经过这几年的发展,它已经发展成了一个平台、一个生态体系。现在Android在移动领域已经得到了广泛的应用。根据Google于2011年6月份公布的数字,现在每天激活的Android设备高达
5个最佳的Android测试框架(带示例)
成都-春哥的博客
04-20 1225
本文是码农网原创翻译,转载请看清文末的转载要求,谢谢合作! 谷歌的Android生态系统正在不断地迅速扩张。有证据表明,新的移动OEM正在攻陷世界的每一个角落,不同的屏幕尺寸、ROM /固件、芯片组以及等等等等,层出不穷。于是乎,对于Android开发人员而言,处理存储碎片变得越来越困窘。 不过幸运的是,Android(还有iOS)开发人员可以无限制地访问一些先进的基于云的解决方案,如
Android自动化测试初探:快速入门指南
虚拟机中包含了Ubuntu操作系统、Eclipse IDE以及Android SDK等必备工具,有利于读者专注于学习测试技术。 3. **虚拟机设置步骤**:详细列出了如何下载和安装VirtualBox,导入预配置的虚拟机,以及在虚拟机中启动和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值