文章分类 - app安全测试
摘要:安全场景描述 开发者为方便调用,会把Activity组件设置为导出状态。Android组件之间采用Intent来传递数据,如果Intent接收方没有对Intent的畸形数据进行异常捕获,攻击者可以通过构造附有畸形数据的Intent,导致APP崩溃,触发拒绝服务漏洞。 威胁等级 中 影响范围 Andr
阅读全文
摘要:安全场景描述 Android apk中的资源主要分为assets资源和res资源两类.Assets资源存放在APP的assets目录下,该类文件是一些原始文件,APP打包时并不会对其进行编译,而是直接打包到APP中,对于这一类资源文件的访问,应用层代码需要通过文件名对其进行访问.Res资源则存放在A
阅读全文
摘要:安全场景描述 当在AndroidManifest.xml文件中未设置android:allowBackup属性值或,设置android:allowBackup="true"时,可对应用程序私有目录下的所有数据进行备份. 威胁等级 中 影响范围 Android所有版本 测试步骤 找到AndroidMa
阅读全文
摘要:安全场景描述 当在AndroidManifest.xml文件中设置android:debuggable="true"时,应用程序可以以调试模式启动,并被任意调试器附加调试. 威胁等级 中 影响范围 Android所有版本 测试步骤 解包,找到AndroidManifest.xml,搜索字段andro
阅读全文
摘要:安全场景描述 由于Android系统固有的缺陷,Android应用分发渠道管理机制等问题,导致Android客户端程序很容易被反编译篡改/二次打包,经任意签名后可在各个渠道或论坛中发布,这不仅损害了开发者的知识产权,更可能威胁到用户的敏感信息及财产安全,因此对客户端自身进行完整性校验尤为必要. 威胁
阅读全文
摘要:安全场景描述: 每个Android应用程序想要安装运行,必须经过签名.所以开发者在发布安装包时, 必须对安装包进行签名.签名信息中包含的组织信息,将便于用户识别安装包的真伪. 部分手机杀毒软件也是基于签名信息进行查杀的.因此一个完整详细的签名信息, 有助于提高用户分辨真伪安装包. 威胁等级: 中:使
阅读全文
摘要:前言: 在之前的文章中已经初步介绍过app安全评估的安全项了,现在我们通过具体的列子,去学习这些漏洞吧。 正文: 我们学习app安全评估中的客户端程序安全。 1.反编译保护: 安全场景描述 Android应用程序是使用Java进行开发,运行于Java虚拟机(Dalvik)的应用程序.通过反编译工具可
阅读全文
摘要:引言: 最近面试的时候,老被问到会做移动端测试嘛,尴尬的我只会做移动端的web,所以决定好好的整理一下对于移动端的评估。 后面看了一下移动端的安全评估,主要是下面的6个大项。先上导图吧。 评估方向: 客户端程序 - 针对客户端唯一性以及保护措施进行评估. 系统组件 - 侧重由于android系统组件
阅读全文
浙公网安备 33010602011771号