![](https://img-blog.csdnimg.cn/20201014180756930.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
app安全测试
测试_于小白
这个作者很懒,什么都没留下…
展开
-
(8)客户端app安全_webview安全风险
WebView是一个基于webkit引擎、展现web页面的控件。(1)Webview明文存储密码风险Android的Webview组件中默认打开了提示用户是否保存密码的功能,如果用户选择保存,用户名和密码将被明文存储到该应用目录databases/webview.db中。而本地明文存储的用户名和密码,不仅会被该应用随意浏览,其他恶意程序也可能通过提权或者root的方式访问该应用的webview...原创 2019-12-23 14:24:07 · 834 阅读 · 0 评论 -
通信app安全_Fiddler拦截http请求修改数据
1、拦截http请求使用Fiddler进行HTTP断点调试是fiddler一强大和实用的工具之一。通过设置断点,Fiddler可以做到:①修改HTTP请求头信息。例如修改请求头的UA,Cookie,Referer信息,通过“伪造”相应信息达到相应的目的(调试,模拟用户真实请求等)。②构造请求数据,突破表单的限制,随意提交数据。避免页面js和表单限制影响相关调试。③拦截响应数据,修改响应实...原创 2019-12-10 11:25:34 · 870 阅读 · 0 评论 -
(6)客户端app安全_进程注入,Activity/界面劫持保护
进程注入保护设法在目标APP的进程空间中执行一段代码。一般的方法是在Native层通过pTrace,让远程进程加载一个.so链接库,从而侵入目标进程空间。需要root;需要编写专门的Native测试工具;GDB也使用了类似的方法来操作远程进程。反调试技术实现复杂,一般通过加壳解决Activity/界面劫持保护在目标APP启动时,立即弹出一个假界面覆盖之。一般是通过Broadcas...原创 2019-12-17 14:29:06 · 1078 阅读 · 0 评论 -
(5)客户端app安全_键盘,屏幕录像
键盘记录保护常见的Android键盘记录主要依靠读取/dev/input/event0设备需要root。需要编写专门的Native测试工具键盘、触屏之类均能捕获到。也有通过注册输入法来窃听键盘的方法。屏幕录像测试即连续截屏,通过视觉反馈效果来窃听密码等敏感信息:adb shell /system/bin/screencap -p 安卓设备中的输出png路径需要root。scr...原创 2019-12-17 14:01:19 · 565 阅读 · 0 评论 -
(4)客户端app安全_数据安全
一.APP所在目录的文件权限二.SQLite数据库文件的安全性三. Logcat日志四.敏感数据明文存储于Sdcard五.app本地数据储存原创 2019-11-29 11:52:28 · 646 阅读 · 0 评论 -
(3)客户端APP安全_组件导出
1.四大组件描述Android主要包含4大组件,分别是activity组件、service组件、content provider组件和broadcast receiver组件。- Activity组件(1)一个Activity通常就是一个单独的屏幕(窗口)。(2)Activity之间通过Intent进行通信。(3)android应用中每一个Activity都必须要在AndroidMani...原创 2019-12-03 15:57:28 · 3858 阅读 · 0 评论 -
(2)客户端app安全_apk二次打包,签名
一,二次打包1.将反编译完的文件重新打包成apk在apktool目录下输入:java -jar apktool.jar b test(之前编译出来的文件夹)2.之后在之前的test文件下便可以发现多了2个文件夹:builddist(里面存放着打包出来的APK文件)二,对回编译的apk进行重签名(必须在java环境)1.进入所装java目录的bin文件夹。输入命令:keytool...原创 2019-11-28 10:54:01 · 616 阅读 · 0 评论 -
(1)客户端app安全_apk反编译
————————————————版权声明:本文为CSDN博主「xiadanying」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/xiadanying/article/details/91588369...原创 2019-11-25 16:12:18 · 406 阅读 · 1 评论 -
移动APP安全测试
1.移动APP安全风险分析*1.1 安全威胁分析安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。1.2 面临的主要风险1.3 Android测试思维导图1.4 反编译工具有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是...转载 2019-11-27 17:59:48 · 2841 阅读 · 0 评论