app安全评估项概况

引言：

最近面试的时候，老被问到会做移动端测试嘛，尴尬的我只会做移动端的web，所以决定好好的整理一下对于移动端的评估。

后面看了一下移动端的安全评估，主要是下面的6个大项。先上导图吧。

评估方向：

• 客户端程序 - 针对客户端唯一性以及保护措施进行评估.
• 系统组件 - 侧重由于android系统组件使用不当产生的风险.
• 运行环境 - 评估设备风险以及进程运行时风险.
• 本地敏感信息 - 分析客户端本地存放的数据是否有安全隐患.
• 网络数据通信 - 重点关注数据传输是否安全.
• 安全策略 - 着重评估登录过程和密码安全相关策略.

 使用工具：

• Inject - 进程注入工具
• HijackActivity - Activity劫持工具
• Jeb - 静态逆向分析工具
• apktool - apk反编译和打包工具
• tcpdump - tcp数据抓包工具
• xposed - android hook框架
• JustTrustMe - xposed框架下信任所有证书的插件实现
• burpsuite - 基于代理实现的抓包和分析工具