Android手机安全性测试手段

  罗列一下自己常用的android手机安全性测试攻击手段:

  1. fiddler和tcpdump+wireshark抓包分析,模拟修改http请求参数,检验漏洞

  2. 修改AndroidManifest.xml文件中debuggable属性,打开logcat输出,查看是否有敏感信息输出

  3. 将apk包转换成jar包,反编译出源码,查看其是否混淆,或者能否通过代码看出主要产品逻辑

  4. 反编译apk,结合反编译出的源码修改smali文件,输出敏感信息,或者更改代码逻辑

  5. 对于一些jni调用so文件的apk包,可以结合反编译的源码自己尝试调用so文件方法,ida查看修改so文件逻辑

  6. Root 手机进入data/data目录下查看缓存文件,数据库中是否保存了敏感信息

  7. 对于有些app调用.net dll可以尝试Reflector反编译源码,弄清产品逻辑,同java反编译一样,而大多数C#代码混淆的意识比java代码混淆意识要弱很多

  8. 对于开放平台相关的app,可以借助以上手段获取开放平台接入的参数,结合平台文档,以完成攻击操作

最新内容请见作者的GitHub页:http://qaseven.github.io/

时间: 2024-09-15 01:00:30

Android手机安全性测试手段的相关文章

手机App安全性测试初探

目前手机App测试还是以发现bug为主,主要测试流程就是服务器接口测试,客户端功能性覆盖,以及自动化配合的性能,适配,压测等,对于App安全性测试貌似没有系统全面统一的标准和流程,其实安全性bug也可以是bug的一种,只不过更加隐秘,难以发现,尤其针对于手机App.近期时间比较充裕,研究了一下安全性相关的东西,并对于我们自身的产品测试了一下(更主要的目的是游戏作弊刷分),发现了不少问题,总结一下. 我的理解,包括以webview为主体的app,站在入侵或者攻击的角度来讲,安全隐患在于http抓包

用于测试android手机的python脚本

问题描述 用于测试android手机的python脚本 用于测试android手机的python脚本是怎么写出来的,需要准备哪些知识?能推荐下相关书籍和资料吗?谢谢了,好人一生平安# 解决方案 python好人一生平安# 解决方案二: android的app的话应该看一下monkeyrunner这些吧,用jython写的

震惊!Android 手机为什么没有 iPhone 安全,看完这篇你就知道了

  雷锋网按:如今智能手机和人的亲密程度几乎已经超过了伴侣,所以安全变得尤为重要.实际上,许多人都清楚 Android 手机的安全问题,但它们到底为什么赢得比 iPhone 差的名声呢?其实很多时候是一些基本的措施都没做好,就像本文中发现的问题.本文由雷锋网(公众号:雷锋网)编译自 Arstechnica,原文作者 Dan Goodin. 同很多打开页面正在阅读这篇文章的用户一样,笔者也是 Android 阵营的成员之一.每天当我们在零售商店徘徊,在城市街道穿梭,或者去哪里旅游,我们随身携带的

恶意软件频繁现身Android手机频现安全门

2011年智能手机大潮在全球市场汹涌,即使在起步较晚的 中国市场,在运营商的大力推动下,普通消费者也开始对于iOS.Android.黑莓这些个原本只在极客群体中广泛传播的技术名词耳熟能详.与之相呼应的,是智能手机销量的猛增.统计数据显示,今年一季度,中国市场上智能手机的销量超过1200万部, 同比增长超过200%,其中Android智能手机更是超过了30%,已经全面逼近Symbian系统,成为了中国智能手机市场最生猛的力量.但值得注意的是,与此同时,智能手机引发的安全隐忧也在剧增,尤其是以"开放

华为发力智能手机跻身Android手机第一阵营

就在北美市场等待摩托罗拉Android手机CLIQ上市,台湾运营商大哥大强烈推销三星Android手机Galaxy的时候,华为的Android手机已经在欧洲市场引发了一阵旋风:距10月6日华为自主研发的Android 3G智能手机在英.德.荷等国同时上市不到一个月,这款完全由中国厂商自主研发也是中国第一款Android智能手机便成功斩获过10万台的订单,华为也借此成为业界第三家成功商用Android手机的供应商,一举进入Android手机Tier 1俱乐部,与HTC.三星一起将摩托罗拉.LG等业

发货量超过10万华为跻身Android手机第一阵营

11月4日上午消息,就在北美市场等待摩托罗拉Android手机CLIQ上市,台湾运营商大哥大强烈推销三星Android手机Galaxy的时候,华为的Android手机已经在欧洲市场引发了一阵旋风.10月6日华为自主研发的Android 3G智能手机在英.德.荷等国同时上市,而根据最新数据,在不到一个月的时间里,这款完全由中国厂商自主研发也是中国第一款Android智能手机便成功斩获过10万台的订单,华为也借此成为业界第三家成功商用Android手机的供应商,一举进入Android手机Tier 1

解决小米、红米及其他 Android 手机无法在 Mac 下进行真机调试

在 Mac OSX 下做 Android 真机测试的时候,发现 Android Device Chooser 里,小米手机的状态显示为 unknown.但是手机的 USB 调试已经打开了.难道是因为驱动的问题?然而小米并没有提供 Mac 下的驱动程序. 注:小米手机打开 USB 调试模式的方法--在"关于手机"里,连续点击"Android 版本"四次,然后回到上一级,"关于手机"上面就出现了"开发者选项" 其实在 Linux

iPhone 4比Android手机们好在哪里

文章描述:iPhone为什么比Android好.   曾经在不同场合与很多安卓青探讨过一些或浅或深的知识层面问题,如今想来具备真正独立思考能力与当量知识储备的,也只有一人而己:换言之,绝大部分时候只是对牛弹琴.那么我将从以下七点来说明iPhone 4比Android手机们好在哪里:工业设计,操作系统,屏幕显示,开发环境,生态环境,硬件配置,杂项. 一.工业设计 林徽因当年动身学建筑的原因,按她自己来说是:"建筑是唯一一门将工程与艺术结合至完美的学科."词句上可能略有偏差.这句话放到现在

Android网络安全性配置

本文讲的是Android网络安全性配置,网络安全性配置特性让应用可以在一个安全的声明性配置文件中自定义其网络安全设置,而无需修改应用代码.可以针对特定域和特定应用配置这些设置.此特性的主要功能如下所示: 自定义信任锚:针对应用的安全连接自定义哪些证书颁发机构 (CA) 值得信任.例如,信任特定的自签署证书或限制应用信任的公共 CA 集. 仅调试重写:在应用中以安全方式调试安全连接,而不会增加已安装用户的风险. 明文通信选择退出:防止应用意外使用明文通信. 证书固定:将应用的安全连接限制为特定的证