国内Android App漏洞检测安全测试技术

最新推荐文章于 2024-01-30 09:52:48 发布
最新推荐文章于 2024-01-30 09:52:48 发布
阅读量2.2k 收藏 12
点赞数
分类专栏: 测试开发工具 Android渗透测试 web安全渗透测试(Kali)专栏连载 文章标签: 安全测试 Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yang520java/article/details/105845095
版权

国内Android App漏洞检测发展简史

前言:本文是《移动APP客户端安全笔记》系列原创文章中的第一篇,主要讲的是企业移动APP自动化漏洞检测平台建设,移动APP漏洞检测发展史与前沿技术,APP漏洞检测工具与平台,以及笔者的一些思考。希望能对移动App自动化漏洞检测感兴趣的同学有所帮助,限于笔者技术水平与文章篇幅,有些内容暂没有逐一详细分析,后续我争取多学习多分享,在此也欢迎大家指点和交流。

一、国内Android App漏洞检测发展简史

1.1石器时代 (2007-2011)
关键词:反编绎,人工审计

    2007年11年,Google正式发布了Android操作系统,2011年12月,Google发布了Android 2.3版本,Android 应用市场App数量突破10万个,随着Android系统的完善及Android设备数量的增加,Android超过塞班成为主流智能手机操作系统。与此同时,一些安全研究人员已经敏感的嗅到了Android客户端安全可能会成为未来的安全热点之一,不少传统的二进制安全研究人员开始转战移动安全。
这个时间段国内对Android安全问题的关注主要集中在恶意App分析与检测,App逆向与破解以及Android系统Root。对于Android客户端安全问题刚主要集中在信息泄露,敏感权限使用的方面,通常使用反编绎工具分析APK源码,然后进行人工审计。 


了解本专栏 订阅专栏 解锁全文 超级会员免费看
魔都性能自动化AuricChan
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
0基础黑客渗透测试工程师高薪就业班
01-12
不管你是0基础小白、还是运维、大学生、IT从业者、寻求新方向、黑客爱好者、渗透人员,本课程将从0基础开始将您培养成一名高薪资的网络安全工程师。从web渗透测试技术讲到红蓝对抗,工具开发,深入浅出,其中内容包括(但不限于)主要有sql注入与xss跨站脚本OWASP TOP 10, 权限提升,内网渗透与代码审计,更深层次的讲了红队技术,比如CobaltStrike工具使用、隧道等技术、免杀对抗。也讲了app、小程序渗透测试。
3种常见的渗透测试漏洞总结,快来收藏√
测试官
12-07 602
越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。
渗透测试之App安全测试详解
最新发布
qq_43775006的博客
01-30 1134
对于App安全渗透测试来说可将其检测方向分为七大模块,分别是客户端程序安全、敏感信息安全、密码安全、安全策略、进程保护、通信安全和业务安全。
《黑客攻防技术宝典:Web实战篇》习题答案(三)
dasini321的博客
05-17 1090
第11章 1.何为强制浏览?可以通过它确定哪些漏洞? 强制浏览包括避开浏览器导航对应用程序功能访问顺序实施的任何限制。应使用强制浏览测试多阶段过程或其他区域中的错误假设。通常,这些假设会导致可以通过使用强制浏览加以利用的访问控制漏洞。 2.为防止不同类型的攻击,应用程序对用户输入实施各种全局过滤。为防止SQL注入,它将出现在用户输入中的单引号配对。为防止针对一些本地代码组件的缓冲区溢出攻击,它将超长的数据截短到适当的长度。这些过滤有什么问题? 如果在实施长度限制之前将引号配对,则通过...
2023年网络安全竞赛B模块专项练习题(ALL)
旺仔Sec&blog
06-02 3185
中职网络安全技能竞赛B模块任务汇总合集
安全测试学习(一)常见安全漏洞
我的成长之路
02-11 4212
常见的安全测试类型 登录失败提示信息 需要模糊提示,如“用户名或密码错误”,不能精确提示 登录失败次数限制或验证码刷新 登录失败后需要自动刷新验证码;达到一定失败次数后需要限制登录 登入登出前后,session值需要发生变化 Chrome如何查看sessionID:高级设置–内容设置–Cookie 目录遍历 只输入系统IP,在后面添加…/…/,查看是否能回到上级目录 网址后面加上./WEB-I...
移动APP漏洞自动化检测平台建设
移木成林博客
02-27 1326
前言:本文是《移动APP客户端安全笔记》系列原创文章中的第一篇,主要讲的是企业移动APP自动化漏洞检测平台建设,移动APP漏洞检测发展史与前沿技术APP漏洞检测工具与平台,以及笔者的一些思考。希望能对移动App自动化漏洞检测感兴趣的同学有所帮助,限于笔者技术水平与文章篇幅,有些内容暂没有逐一详细分析,后续我争取多学习多分享,在此也欢迎大家指点和交流。 一、国内Android App漏洞检测
安全测试(二)
鼓浪屿岛与海的博客
09-27 318
安全测试中手工测试类型分为: xss(存储型跨站漏洞) 业务需求信息泄露 CSRF Jsonp劫持 权限校验 登录安全 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~以下就各个类型进行讲解~~~~~~~~~~~~~~~~~~~~~~ 一.XSS漏洞 1.定义 跨站脚本攻击,通过恶意攻击者往Web页面插入恶意Js代码,当用户浏览,嵌入的代码会被执行,恶意攻击...
如何入门漏洞挖掘,以及提高自己的挖掘能力
键盘的起始页
04-09 1208
0x01:前言 大家好我是米斯特团队的一员,我的id香瓜,我们团队在这次i春秋第二次漏洞挖掘大赛中,包揽了前五名,我key表哥一不小心拿了一个第一,导致很多人来加他好友问他,如何修炼漏洞挖掘能力,我今天帮大家解答一下这个疑问,哈哈哈。 漏洞挖掘是安全圈的一个核心之一,但是随着各大厂商安全意识的增强,以及各类waf的出现。一些像sql注入,文件上传,命令执行这些漏洞也不是那...
Android APP漏洞之战(9)——验证码漏洞详解
键盘的起始页
04-25 1922
开始引入CA证书校验机制,这里先会涉及到Https的单向认证机制 上述步骤4就进行证书校验的环节,而这里的证书便是将手机内置的证书和客户端的证书进行校验,来判断是否合法 1 2 3 Https原理:非对称+对称连接 (1)非对称主要是为了传输对称连接所需要密钥和证书校验 (2)对称连接是加密密码可以安全传输,就可以采用对称连接 Android4.4-Android7.0 这个阶段,Androi...
信息安全_android漏洞检测动态分析.pptx
08-14
当前APP安全现状 动态测试框架或工具 病从口入,Hold住攻击入口 案例1-拒绝服务检测 案例2-超级拒绝服务 案例3-ContentProvider目录遍历 Hook,信息收集和命中漏洞 使用Xposed进行收集信息 案例4-全局文件读写检测 ...
Android App安全测试基础与进阶
01-10
1、综合整理了关于Android App安全测试的各种知识; 2、详细描述了常见/常被利用的漏洞; 3、从9大方面细分3个层次(检测介绍、具体测试方法、修复建议)来描述详细的实操方法;希望能对大家有所帮助。
安卓APP漏洞的静态检测方法.pdf
08-07
因此通过常规的测试流程来找出这些藏在深处的漏洞越来越难,对此,我们的一个思路是,通过静态程序分析来挖掘安卓应用中存在的漏洞,并构造出能够触发这些漏洞的条件。希望通过这些分享帮助开发者制作出更安全的应用...
移动端APP安全资料.zip
07-01
Android APP 渗透测试方法大全 Android安全攻防权威指南 Android基础⼊入⻔门路路线图 Android逆向菜鸟速参手册骚动版 Android逆向速参手册 Android软件安全与逆向分析 APK签名验证原理及Upgrade DoS漏洞剖析 APP...
Hide-My-Applist:使用漏洞检测特定软件包名称(例如Magisk和Edxposed Manager)的android应用
03-21
隐藏我的应用列表使用漏洞检测特定软件包名称(例如Magisk和Edxposed Manager)的android应用。还可以用作xposed模块,以拒绝/隐藏其他应用程序以免检测到某些软件包。待办事项:xposed模块尚未完成一个利用系统防御...
往虚拟机传文件的三种方法
魔都虫师的博客
11-01 8330
文件共享方法一 一、创建共享文件夹(这种方法最适合Windows系统,专治各种无法传送问题) 共享文件的意义在于可以把宿主机的文件传到虚拟机内,这是VMware自带的传文件功能,非常好用。 前置条件: 在宿主机建立一个共享文件夹 操作步骤: 1)在宿主机创建个文件夹 2)右键“属性”, 3)点击‘共享’列名,选择‘共享’按钮, 4)选择所有者共享,点击‘共享’按钮; 5)出现共享的路径,点击完成; 6)关闭该页面。 二、...
解决kali2021在虚拟机无法复制-黏贴的问题
魔都虫师的博客
11-11 6588
安装了自带的vmtools仍然不可以复制粘贴,很大可能是因为和新版的vmwave不兼容。 解决新版本不支持vmtools的方法: 使用安装命令: 安装open-vm-tools-desktop apt-get install open-vm-tools-desktop fuse 重启: reboot 即可完成。 ...
Kali Linux2021.2发布,增加大量新工具和功能
魔都虫师的博客
12-09 4939
Kali Linux2021.2的新增工具和实用程序
OWASP Top 10 2021 榜单出炉,安全人员必看
魔都虫师的博客
12-16 2562
OWASP(开放式Web应用程序安全项目)是一个开源的、非营利性的全球性安全组织,致力于改进Web应用程序的安全,这个组织最出名是,它总结了10种最严重的Web应用程序安全风险,警告全球所有的网站拥有者,应该警惕这些最常见、最危险的漏洞
聊天APP Android系统安全分析
05-23
聊天APP的安全问题主要分为以下几个方面: 1. 数据传输安全:聊天APP需要保证数据在传输过程中不被窃听、篡改或者伪造。一般来说,聊天APP会采用SSL/TLS等加密协议确保数据的传输安全。 2. 用户隐私保护:聊天APP需要保护用户的隐私信息,包括用户的个人信息、聊天记录等。聊天APP需要采取措施防止用户隐私信息泄露,比如采用数据加密和访问控制等技术。 3. 恶意软件防护:聊天APP需要保护用户免受恶意软件的攻击。聊天APP需要采用反病毒软件和入侵检测技术检测和清除恶意软件,同时还需要定期更新和修补软件漏洞。 4. 安全设置管理:聊天APP需要提供安全设置管理功能,让用户可以设置自己的隐私安全选项,比如是否开启防火墙、是否允许远程访问、是否允许自动登录等。 5. 安全认证管理:聊天APP需要进行用户身份认证,以保证只有合法用户才能使用聊天服务。聊天APP需要采用安全认证技术,比如用户名和密码、生物识别等方式进行身份认证。 在Android系统上,聊天APP需要注意以下几个问题: 1. 权限管理:聊天APP需要请求合适的权限,以便能够正常的运行。但是,需要注意不要请求过多的权限,避免权限滥用。 2. 数据存储安全:聊天APP需要使用安全的存储方式,以保障用户的数据安全。比如,可以使用加密存储方式,或者采用数据隔离技术,将用户数据隔离在独立的存储空间中。 3. 加密通信:聊天APP需要采用SSL/TLS等加密协议,确保数据在传输过程中不被窃听、篡改或者伪造。 4. 安全更新:聊天APP需要定期进行安全更新,修复软件漏洞和增强安全功能,以提高软件的安全性。 5. 防止反编译和代码注入:聊天APP需要采用代码混淆技术,以防止反编译和代码注入攻击。 总之,聊天APP的安全问题需要综合考虑各个方面,采取不同的措施进行保护,以保障用户的隐私和数据安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

魔都性能自动化AuricChan

打赏后可获得更全的技术资料!!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值