Android手机安全性测试手段

发表于:2014-5-27 11:01  作者:salomon   来源:51Testing软件测试网采编

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: Android 安全性测试 测试技术

  罗列一下自己常用的android手机安全性测试攻击手段:
  1. fiddler和tcpdump+wireshark抓包分析,模拟修改http请求参数,检验漏洞
  2. 修改AndroidManifest.xml文件中debuggable属性,打开logcat输出,查看是否有敏感信息输出
  3. 将apk包转换成jar包,反编译出源码,查看其是否混淆,或者能否通过代码看出主要产品逻辑
  4. 反编译apk,结合反编译出的源码修改smali文件,输出敏感信息,或者更改代码逻辑
  5. 对于一些jni调用so文件的apk包,可以结合反编译的源码自己尝试调用so文件方法,ida查看修改so文件逻辑
  6. Root 手机进入data/data目录下查看缓存文件,数据库中是否保存了敏感信息
  7. 对于有些app调用.net dll可以尝试Reflector反编译源码,弄清产品逻辑,同java反编译一样,而大多数C#代码混淆的意识比java代码混淆意识要弱很多
  8. 对于开放平台相关的app,可以借助以上手段获取开放平台接入的参数,结合平台文档,以完成攻击操作

评 论

  • lz5chengli (2014-8-24 21:36:02)

    先顶一下,求楼主给详细与点

  • Bonnie51 (2014-8-20 14:58:55)

    楼主,求详细

  • jlaiyou (2014-6-09 11:03:17)

    楼主,求详细

  • zylzymaying4 (2014-5-27 15:20:07)

    以上每一种手段都稍微详细点就更好了

论坛新帖

顶部 底部


建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海瀛东律师事务所 张楠律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2018, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道