51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1828|回复: 0
打印 上一主题 下一主题

安卓安全测试----《一》应用反编译

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2018-7-16 14:43:04 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
《一》应用反编译

对于现有的项目做了部分角度的安全测试。做个记录。

工具:
apktool
主要查看res文件下xml文件、AndroidManifest.xml和图片。(注意:如果直接解压.apk文件,xml文件打开全部是乱码)
Smali2JavaUI csdn太黑了都挂的十来币,挂个自己的七牛免费的 [color=#069d6 !important]下载地址

较老的教程都是用的(dex2jar、jd-gui),先dex2jar把classes.dex转为jar,再jd-gui把jar转为源码.java文件。
现在可以用Smali2JavaUI这个软件,一部到位。可以把这两个步骤化为一个步骤。
原开发者的网站已经被和谐了,博主留下的愤言还是值得回味的。[color=#069d6 !important]http://www.hensence.com/cn/

所以,如果只想反编译看
.java文件的话,只用Smali2JavaUI软件就可以了。
这个软件可以直接打开**.apk文件,然后就直接看到.java文件了。其实他已经集成了apktool,只是如果apktool有新版本的话,最好自己手动反编译。

步骤:
1.安装最新版apktool:[color=#069d6 !important]https://ibotpeaches.github.io/Apktool/install/

(1)解包
$ apktool d app-release.apk
(2)重新打包

  1. $ apktool b test
复制代码

运行CMD,进入比如app-release.apk所在目录,然后运行apktool d app-release.apk,默认解压的文件就在app-release.apk所在目录。

2.直接用Smali2JavaUI打开需要反编译的apk,检查是否混淆,检查代码及配置信息,有无敏感的账号信息等。
实际的黑客还可以针对应用是否需要付费等相关代码进行篡改,比如我现在用的charles破解版,就是把其中的注册验证段的代码给修改后,二次打包。绕过了服务器的验证。
目前我们的互联应用主要还是服务端去验证相关的数据权限。so,看到主要的业务代码或者重要的加密逻辑混淆,基本就测试pass了。

分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏1
回复

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-10 23:12 , Processed in 0.062717 second(s), 24 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表