搜索
查看: 969|回复: 0

初探android app安全测试

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2016-8-2 14:12:32 | 显示全部楼层 |阅读模式

引言

     伴随着android app的越来越多的应用,关于android app的安全漏洞也在不断地出现,在面对一个安卓应用时,如何对它进行安全测试,我们在这里做个抛砖引玉的介绍。

1.我们需要准备什么?

  • 首先,我们需要有一台被root过的安卓手机(没有的话,各种模拟器和avd亦可,),为什么要被root?因为在测试过程中我们会需要提取app里的资源,查看app的数据,这些操作必须具备root权限。至于怎么root,可以根据不同的手机品牌及型号寻找合适的root方法。对于模拟器来讲,我们原本就拥有它的root权限。
  • 数据线。用来连接手机与电脑,进行调试和查看app资源。
  • 安装安全证书。这在我们通过Burpsuite或者Fiddler等工具开抓app的https网络数据包时是必不可少的。证书安装步骤可以参考http://www.jb51.net/article/64396.htm  http://blog.csdn.net/zshq280017423/article/details/8928616

2.我们需要哪些基本的工具?

     兵欲善其事,必先利其器,因此好用的测试工具是非常重要的,推荐下面几款很好用的工具。

      实际上,androidkiller工具中就已经包含了apktool,dex2jar,adb和JD-GUI。JEB与JD-GUI都可以直接看到反编译后的android源代码,但jeb可以轻松地通过源代码定位到所对应的smali代码处,对修改smali代码很有帮助,而JD-GUI的视角更接近于android开发,查看和分析源代码更直观。


3.我们需要关注哪些测试点?


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x
过段时间可能会取消签到功能了
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表