51Testing软件测试论坛
标题:
【我分享】Android 安全测试初探(二)
[打印本页]
作者:
张亚洲
时间:
2015-1-9 08:27
标题:
【我分享】Android 安全测试初探(二)
上回大体介绍了下安全测试的一些基本测试项,现在我们就细则方面来一一阐述
首先我们来说说检查这个大项,可能大家看到检查项只有寥寥的几个,但是要查的东西还真不少
文件权限
一般我们需要检查 apk 所生成的文件,这里我们需要检查 2 种模式下安装的apk
adb install
adb push
使用一段时间,需要遍历所有功能,这样才会生成所有需要检查的文件,一般检查文件路径如下 2 个
/dada/dada/packageName
/sdcard/Android/data/packageName
当然有些 apk 还会在 sdcard 上面的其他路径生成文件,这个也是需要检测的,这里我们对文件做如下检测:
权限检测 —— 检测文件的权限所属关系,通过 ls-l 来遍历,查看有哪些文件是否包含允许第三方读写权限
内容检测 —— 打开所有文件,查看内容是否涉及到个人数据及隐私数据,是否加密处理
apk 运行权限
这里我们需要安装apk后,安装方法有 2 种,如上所述,运行apk后,通过 ps 来查看 apk 的运行用户是什么
apk 权限
这里可以使用反编译的方式查看 apk 申请了哪些权限
日志
这里查看 apk 运行期间所打印的日志,通过 logcat 命令来查看
报文
这里查看 apk 在运行期间所有跟网络交互产生的报文,通过 tcpdump、fiddle2、wireshake 等工具均可
好了,今天先说到这里,下回继续说其他的
下文链接:
http://testerhome.com/topics/1576
作者:
Charles_H
时间:
2015-2-26 10:45
感谢分享
欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)
Powered by Discuz! X3.2