APP安全性测试、apk反编译

最新推荐文章于 2024-07-21 15:19:34 发布
最新推荐文章于 2024-07-21 15:19:34 发布
阅读量1.5k 收藏 6
点赞数
分类专栏: 软件测试 文章标签: APP安全性测试 apk反编译 软件测试 移动端测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiadanying/article/details/91588369
版权
本文探讨了APP安全性测试的关键点,包括安装包的签名验证、完整性校验和权限设置检查。同时详细介绍了apk反编译的过程,包括使用apktool获取资源文件,借助dex2jar转换单个dex文件为jar,最后通过jd-gui查看源代码。这些步骤对于理解和分析应用程序的安全性至关重要。
摘要由CSDN通过智能技术生成

文章目录


https://www.jianshu.com/p/d79a30a7ed94
https://blog.51cto.com/laoyinga/2155341

安全测试点

  • 安装包
    • apk反编译
    • 签名
      • 发布前校验一下签名使用的key是否正确,以防被恶意第三方应用覆盖安装等
      • 使用命令 jarsigner -verify -verbose -certs apk包路径
      • 若结果为“jar 已验证”,说明签名校验成功。
    • 完整性校验
      • 为确保安装包不会在测试完成到最终交付过程中因为其他问题发生文件损坏
      • 检查文件的md5值,而且一般可以通过自动化做校验
    • 权限设置检查
      • 直接检查manifest文件来读取应用所需要的全部权限,并结合需求进行校验此权限是否为必须的
      • manifest文件的修改也需要关注,在增加新权限前需要进行评估
  • 敏感信息测试(客户端加密测试)
  • 软键盘劫持
  • 账户安全
  • 数据通信安全(网络安全测试)
  • 组件安全测试
  • 服务端接口测试
  • 内存修改测试

apk反编译

最低0.47元/天 解锁文章
xia@xia
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
安全测试-- apk 反编译
Qton_CSDN的博客
02-27 424
https://www.cnblogs.com/cuiyubo/p/6721397.html 1 下载 apktool https://bitbucket.org/iBotPeaches/apktool/downloads 2 把 下好的 apktool.jar 放在任意目录(我直接放在 C根目录下) 3 记住需要反编译apk的存放地址(我放在C盘) 4 cmd 输入命令:   ...
实践APP安全性检测(一):APK反编译
dengjuexiao3608的博客
09-23 544
1、概述 APP安全性一般可以从以下几方面进行考量: 以及其他一些杂项(或者通用并不局限于APP的安全项): 本文讨论反编译问题。 2、APK反编译 安卓开发的APP,如果不做任何处理是很容易被反编译的。也就是说,一个APP的源代码可以轻易的被泄露。 对于商业软件而言,这当然是不可接受的。而作为测试团队,应该确保自己的产品能够妥善抵御反编译测试可...
最佳的10款App安全测试工具_安全测试技术和工具
最新发布
2401_85236365的博客
07-21 1108
当今, 全球移动用户大约超过37亿。Google Play 上大约有 220 万个 App, 苹果App Store 上大约有 20 亿或更多的 App。同时,根据 Flurry 统计数据表明,现在,每个人每天会在移动设备上 花费近 5 个小时的时间。移动 App 的广泛应用,必然伴随着新的应用安全威胁。这些攻击与以前经典的 web app 无关。随着移动 App 的增长,交付高安全性App 对用户来说非常重要。有很多原因可以解释为什么 App 安全测试意义非凡。
APK反编译测试
weixin_42110738的博客
04-03 832
一、准备必要工具 1.1、使用工具 1.apktool (资源文件获取) 2.dex2jar(源码文件获取) 3.jd-gui (源码查看) 1.2、工具介绍   apktool     作用:资源文件获取,可以提取出图片文件和布局文件进行使用查看   dex2jar     作用:将apk反编译成java源码(classes.dex转化成jar文件)   jd-gui     作用:查看APK...
Android安全专项测试反编译
doctorq
11-13 5385
apktool 反编译APK使用apktool d <apk文件名>,默认会生成和APK文件名同名的文件夹,里面会存放反编译后的文件:localhost:apk wuxian$ apktool d com.wangyin.payment-3.11.1.apk I: Using Apktool 2.0.1 on com.wangyin.payment-3.11.1.apk I: Loading res
APK反编译及防护技术
爱测未来团队博客
08-21 1239
Android APK安全已经是当前安全测试关注的重点,尤其是在互联网公司,很多系统涉及政务信息与支付的,安全问题更是需要重点关注。
APP安全测试汇总
mialukis的专栏
10-08 738
1、使用抓包工具 查看通信数据是否加密 2、使用反编译工具 查看app源代码 3、使用SQL注入 检查数据库安全性 4、查看app目录结构 查看结构文件的安全性【是否明文保存私密信息等】
app测试apk劫持工具
03-20
"app测试apk劫持工具"是一种专门用于检测和评估应用程序安全性的工具,它可以帮助开发者和安全研究人员发现潜在的安全漏洞和恶意行为。 APK劫持,全称Android Package Kit劫持,是指攻击者通过篡改或替换原始APK...
Android APK 反编译式工具
11-27
通过使用dex2jar和jd-gui,我们可以查看APK中的Java字节码,这对于理解代码逻辑、查找安全漏洞或进行兼容性测试都有很大的帮助。然而,这个过程也需要具备一定的技术背景和对Android系统以及Java编程的了解。
Android apk反编译
11-04
6. **安全和合法性**:值得注意的是,APK反编译涉及版权和隐私问题。未经授权的反编译可能会侵犯开发者权益,因此在进行此类操作时必须确保遵循合法性和道德规范,尤其在商业用途上。 7. **逆向工程的应用**:APK反...
APP应用安全测试
m0_68271895的博客
02-27 1000
中国信息通信研究院发布的《移动应用数据安全与个人隐私保护白皮书(2019年)》显示,67%的App 存在5个及以上个人信息安全问题,18.5%的App 存在10个及以上个人信息安全问题。超过四成App的问题集中在未公开收集使用规则、未明示收集使用目的、超范围收集个人信息等5类问题上。 APP数据安全的检测,重点在对个人隐私保护上的检测。主要分为:隐私协议合规性、收集及使用个人信息合规性、权限申请及使用合规性、风险行为四部分。
apk测试工具调研
weixin_34009794的博客
04-26 151
2019独角兽企业重金招聘Python工程师标准>>> ...
APP安全测试点概述
陈娟的博客
07-19 3262
一. APP安全测试测试点概述 1.安装包测试 1.1关于反编译 目的保护公司知识产权和安全方面的考虑,程序员会在源码中编译一些敏感信息,如密码。一旦泄露安全隐患巨大。 为了避免这些问题,测试中,我们可以直接使用反编译工具(dex2.jar和jd-gui工具)查看源代码,判断研发是否对代码做了混淆,包含显而易见的敏感信息。 1.2关于签名 这点IOS不用考虑,因为APP Store会做校验。但Android没有此类权威检查,我们需要在发布前校验一下签名使用的key是否正确,以防被恶意第三方应
android app性能测试
hapasm的博客
09-01 667
1、性能测试 启动时间 冷启动  应用程序首次启动,进程首次创建并占与资源的过程 热启动  应用程序启动后,点击back或home,退到后台并未完全被杀死,再次启动的过程 启动app命令 adb shell am start -W -n package/activity  停止app命令 adb shell am force-stop page 获取pack 和 activ
初识App安全性测试
piooix的博客
12-21 683
目前手机App测试还是以发现bug为主,主要测试流程就是服务器接口测试,客户端功能性覆盖,以及自动化配合的性能,适配,压测等,对于App安全性测试貌似没有系统全面统一的标准和流程,其实安全性bug也可以是bug的一种,只不过更加隐秘,难以发现,尤其针对于手机App。   以webview为主体的app,站在入侵或者攻击的角度来讲,安全隐患在于http抓包,逆向工程。谈这之前先讲讲webview
[车联网安全自学篇] Android安全之检测APK中异常处理代码是否暴露敏感信息
橙留香Park的博客
09-01 1190
APK应用程序在进入异常或错误状态的话就会发生异常,Java和C++都可能抛出异常。因此,测试APK的异常处理是为了解APK应用程序能够处理异常并转换到安全状态,而不是APK通过UI 或APK 的Logcat日志暴露敏感信息。...
软件测试/测试开发丨app自动化测试Appium 源码修改定制分析
Ceshiren666的博客
03-22 87
Appium 是由 Node.js 来实现的 HTTP 服务,它并不是一套全新的框架,而是将现有的优秀的框架进行了集成,在 Selenium WebDriver 协议(JsonWireProtocol/Restful web service)的基础上增加了移动端的支持,使 Appium 满足多方面的需求。
防止 apk反编译 jocky-- java混淆代码
先疯盗骨
08-27 1791
1、下载jocky,解压后把整个文件夹复制到Eclipse的plugin目录。 2、重启Eclipse,在项目上点右键,如果出现jocky菜单,则安装成功。   3、在项目上点右键,选菜单jocky->jocky setting,弹出菜单后设置如图     4、点ok后,将在项目的根目录下生成一个jocky_build.xml文件,事实上
移动APP安全测试反编译与保护策略
"移动APP安全测试涉及客户端、数据传输和服务端的安全威胁,主要风险包括源代码泄露、逻辑设计暴露等。反编译工具dex2jar和apktool用于获取APP资源,前者转...同时,持续的安全测试和更新也是确保APP安全性的关键实践。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值