android手机安全性测试手段

最新推荐文章于 2022-12-05 20:43:02 发布
最新推荐文章于 2022-12-05 20:43:02 发布
阅读量3.9k 收藏 5
点赞数
分类专栏: android测试
        1. fiddler和tcpdump+wireshark抓包分析,模拟修改http请求参数,检验漏洞
  2. 修改AndroidManifest.xml文件中debuggable属性,打开logcat输出,查看是否有敏感信息输出
  3. 将apk包转换成jar包,反编译出源码,查看其是否混淆,或者能否通过代码看出主要产品逻辑
  4. 反编译apk,结合反编译出的源码修改smali文件,输出敏感信息,或者更改代码逻辑
  5. 对于一些jni调用so文件的apk包,可以结合反编译的源码自己尝试调用so文件方法,ida查看修改so文件逻辑
  6. Root  手机进入data/data目录下查看缓存文件, 数据库中是否保存了敏感信息
  7. 对于有些app调用.net dll可以尝试Reflector反编译源码,弄清产品逻辑,同 java反编译一样,而大多数C#代码混淆的意识比java代码混淆意识要弱很多
  8. 对于开放平台相关的app,可以借助以上手段获取开放平台接入的参数,结合平台文档,以完成攻击操作

      原文出处:http://www.51testing.com/?action-viewnews-itemid-862051
两片树叶
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android安全测试用例(网络资源学习记录)
天在等我,菜鸟想飞
12-30 7145
数字签名检测 C:\Program Files\Java\jdk1.8.0_111\bin\jarsigner.exe -verify APK 文 件 路 径 -verbose –certs 当输出结果为“jar 已验证”时,表示签名正常 检测签名的 CN 及其他字段是否正确标识客户端程序的来源和发布者身份 如上图,说明测试结果为安全。 要说明的是,只有在使用直接客户的证书签名时,才认为安全。 Debug 证书、第三方(如 开发方)证书等等均认为风险。 反编译检测 把 apk 当成 zip
手机安全测试
庄小法的博客
04-09 1653
此文章不对外,所以写的不是很详细,一笔概过。 漏洞描述 如果安卓应用没有使用有效的token机制,对登陆响应中的服务器返回的鉴权信息进行修改,即可绕过服务器鉴权,直接访问系统内部信息。 重现场景 修改code值即可绕过鉴权进入登录后界面 漏洞描述 对访问该模块时的关键用户信息进行替换,则可越权访问他人的应用模块。 失败场景 漏洞描述 登录页有无验证码短信验证码,是否限...
android 安全性测试,Android app安全性能测试
weixin_29349409的博客
05-26 121
1.安装包测试(1)能否反编译代码(源代码泄露问题):开发:对代码进行混淆;测试:使用反编译工具进行查看源代码,是否进行代码混淆,是否包括了显而易见的敏感信息(2)安装包是否签名(ios重app有正式的发布证书签名,不必考虑):需要在发布前验证一下签名使用的key是否正确,以防被恶意第三方应用覆盖安装(3)完整性校验:检查文件的md5值(4)权限设置检查(增加新权限需要进行评估):android检...
移动APP安全测试
weixin_43639443的博客
11-27 2871
1.移动APP安全风险分析* 1.1 安全威胁分析 安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。 1.2 面临的主要风险 1.3 Android测试思维导图 1.4 反编译工具 有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是...
Android安全测试
Scorpio_m7
05-17 1027
基础介绍 Android 平台、组件等基础知识介绍 Android平台架构 Android系统 架构采用分层式设计。 如果把Android 系统看做一层一层的,那么基本可以理解成以下结构(这是其中一种简单的分层方式): 最上层是应用层( Application 层),包含所有应用 ,比如桌面 (桌面 也是应用)、电话、 设置等,以及我们常用的微信、优酷等应用属于这一层 第二层是应用框架层Framework 层),包含了对上层应用的管理和提供开发者所需的应用程序编程接口( API )。 第三层是系统运行库层
2014年下半年Android手机隐私安全报告.pdf
09-10
渗透测试是评估Android应用安全性的重要手段。通过模拟黑客攻击,找出可能的安全漏洞和隐私泄露风险,有助于提前修复并增强系统的防护能力。对于高风险的隐私权限,应该进行特别审查和限制。 【安全防御】 用户应...
Android测试
11-17
然而,随着技术的演进,Android系统也面临着一系列挑战,包括安全性、稳定性以及兼容性等问题,这直接促使了Android测试领域的兴起与发展。 #### Android测试的范围与工具 Android测试覆盖了广泛的领域,旨在确保...
安全人才 2014年下半年Android手机隐私安全报告 - mesh.zip
11-08
《2014年下半年Android手机隐私安全报告》深入探讨了移动设备,特别是Android平台上的隐私保护问题。这份报告由安全领域的专家撰写,旨在提高人们对移动设备安全性的认识,并提供有效的应对策略。 首先,报告提到了...
移动应用系统安全测试服务技术.docx
最新发布
06-29
因此,对手机应用软件进行安全性测试至关重要,涉及数据传输、访问控制、移动设备和服务器端等多个方面。 2.1 服务范围 @Safetrust的服务覆盖主流手机操作系统,包括Android、iOS、Windows Phone和Java等平台上的...
手机测试要点大全
weixin_58335587的博客
07-24 5431
功能测试(Functional Testing)是最基本的测试,主要 根据需求规格说明书验证功能是否实 功能测试要点: 1.多考虑用户是在什么情况下如何使用该功能。 如:断网的时候访问网站,或者使用键盘快捷键进行操作等等 2.多考虑用户对多个功能的组合运用。 如:测试手机时,玩着游戏并在后台播放音乐,接到一个电话,通 话时收到一条短信等等情况。 3.多考虑多用户同时访问/操作的情况。 如:测试电商网站双十一、12306假期购票时,多用户登录、多次刷 新、下订单、支付等情况。 安.....
APP安全性测试总结-移动APP安全测试
12-05 2207
安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是java汇编代码。dex2jar主要是用来把之前zip解压出来的classed.dex转成jar包的jd-gui主要是用来打开Jar包的APP源代码对于一个公司是非常重要的信息资源,对APP的保护也尤为重要,APP的反编译会造成源代码被恶意者读取,以及APP的逻辑设计,我们一般想要
Android安全[测试标准]
0x00的博客
08-02 1451
安卓攻击面 物理层攻击分析:USB, 手机 无线层攻击分析:NFC, RF, BLE , Cellular, GPS, WIFI 应用层攻击分析:APP   手机启动模式:下载模式, fastboot模式 物理层测试 测试名称:usb--[mtp测试] 测试工具: mtp的fuzzing工具:https://github.com/ollseg/usb-device-fuzzing ...
APP测试之安全性测试
热门推荐
juandaisy的博客
05-03 1万+
一、前言   在SDK最近的项目中上线的包被第三方杀毒软件报出有病毒的问题,后来经过查验发现是SDK悬浮窗动画的逻辑被检验出有病毒,最后进行了修改。事情虽然解决了,但是引起该问题的一个原因是在测试中没有安全测试,而安全测试的标准,方法都没有。因此今天将之前工作中参与过的安全测试以及从网上查阅到有关安全测试的资料进行整理。有不足的之处,尽情谅解。   二、软件权限   1)扣费风险
Android 安全测试思路总结(攻击面)
Venscor技术养成之路
02-12 8760
Android攻击面
手机移动APP安全测试方法、工具和一些容易产生安全问题
a77577341的博客
11-27 737
0x00 背景随着移动互联的扩张,移动APP承载了更多企业的终端梦。“用户手机安装APP以后,企业即埋下一颗种子,可持续与用户保持联系。”  种子是种下了,可要是它本身就是个[特洛伊***]呢?试想你在某某知名APP平台下载安装一款知名APP,深更半夜突然响起了[THE PHANTOM OF THE OPERA]那会是怎样的一种情景!通过这近一个月来的观察和实验,斗胆在这里简单介绍一下手机移动AP...
几款android安全测试工具
潇湘淑女
04-25 6043
1.dexexplore 该应用可以直接查看android 应用的dex 文件,及其方便使用,可以帮助我们审计android源码的安全问题和掌握一些基本信息(四大组件等) 链接:http://pan.baidu.com/s/1c2eFUk4 密码:fh9h 2.zANTI zAnti – 用于中间人攻击(MITM)测试时可进行人工渗透测试,ICMP重定向 – 使用ICMP重定向
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值