app安全性测试方案

一、概述：

目前国内对app安全性要求不算很高，很多公司基本没有做app的安全性测试或者做的比较潦草，本文规范的介绍app的安全测试流程！

 

二、分析:

2.1 安全威胁分析

安全威胁从三个不同环节划分:主要分为客户端威胁、数据传输端威胁、服务端的威胁。

 

 2.2面临的主要风险:

 备注：数据传输还有(

• 信息泄露
• 传输数据篡改
• 重放攻击

)

 

 

二、APP安全测试测试点：

 

四、工具介绍：

静态分析工具: Apktool、yaazhini、MobSF、dex2jar、jadx-gui、JEB、Androidkiller、GDA

动态分析工具: DDMS、gdb、IDA、Drozer、MobSF

抓包分析工具: Fiddler、Wireshark、charles。

 

五、安全测试流程：

 

 

六、使用工具扫描：

概述：有部分测试点需要通过工具辅助(如抓包、sql注入、日志等)

客服端：

yaazhini(APK和API的免费漏洞扫描工具)

Apktoolh、androidkiller这两个是反编译工具

 

数据传输：

charles、fidder

服务端：

sqlmap(检测接口sql注入)

nmap(端口扫描工具)

 

 

 

相关连接：

https://blog.51cto.com/laoyinga/2155341 .............................................................移动APP安全测试，移动安全app渗透测试

https://blog.csdn.net/chenjuan0530/article/details/107445438 .............................安全测试点详细介绍

http://blog.itpub.net/31542418/viewspace-2658203/ ............................................基于接口安全