51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 2707|回复: 1
打印 上一主题 下一主题

【我分享】Android 安全测试初探(三)

[复制链接]
  • TA的每日心情
    慵懒
    2017-7-9 10:38
  • 签到天数: 13 天

    连续签到: 1 天

    [LV.3]测试连长

    跳转到指定楼层
    1#
    发表于 2015-1-9 08:27:52 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    上回说完了检查项,本轮该说说扫描项了
    大家听到扫描,可能立马会想起来用工具,对,大部分扫描都是通过工具,但是工具本身也会存在误报等,还需要人手工校验
    端口扫描一般使用 nmap 和 netstat 来进行的。nmap 用于扫描服务器,netstat 用来扫描客户端本身
    病毒、木马扫描一般使用国际四大杀毒厂商提供的移动版来进行扫描,分别扫描 apk 安装文件和 apk 安装后使用一段时间内产生的文件
    广告查杀这个一般都是平台会做的检测项,一般也是用各类查杀广告类的 apk 来进行扫描,目前已知的原理是可以通过 adb shell dumpsys notification 来查杀,至于应用内部的广告查杀原理未知,只能靠软件辅助,如果对方不认可,可以祭出大杀器,反编译找到源码
    到这里,扫描也说完了,下面简单的说下 drozer 这个工具
    drozer 是一款非常强悍的工具,适合深入挖掘应用底层方面的安全威胁,可以查杀漏洞及木马,以及暗码(有了暗码,很多事情就很好办了~~),drozer搭建好环境后,通过命令行的方式进行运行,命令方面的讲解大家可以移步官方的doc文档
    最后还有一个大杀器 —— fuzz测试,可能大家在pc端并不陌生,但是移动端的fuzz测试并不是传统意义的fuzz,而是通过频繁调用空intent来遍历调用apk的各个activity来验证是否会产生崩溃,死机等方面的问题,甚至安全方面的隐患
    好了,安全方面到此告一段落

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏1
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-11 20:13 , Processed in 0.060700 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表