51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

测试开发精英班,通向高级软件测试工程师【周活动】 找茬--心里圈的故事 !【长期招募】博为峰网校招聘兼职讲师!横扫BAT,Python全栈测试开发技能大全
【106期】:如何树立正确使用Python做开发的习惯 【征稿】提交你的测试成绩单! 【专题】用尽一切办法只为让你学好用例 自学软件测试那点事
查看: 468|回复: 0

Android 安全测试初探 (二)

[复制链接]

该用户从未签到

发表于 2019-4-16 11:59:49 | 显示全部楼层 |阅读模式
首先我们来说说检查这个大项,可能大家看到检查项只有寥寥的几个,但是要查的东西还真不少

文件权限

一般我们需要检查 apk 所生成的文件,这里我们需要检查 2 种模式下安装的apk

adb install
adb push
使用一段时间,需要遍历所有功能,这样才会生成所有需要检查的文件,一般检查文件路径如下 2 个

/data/data/packageName
/sdcard/Android/data/packageName
当然有些 apk 还会在 sdcard 上面的其他路径生成文件,这个也是需要检测的,这里我们对文件做如下检测:

权限检测 —— 检测文件的权限所属关系,通过 ls-l 来遍历,查看有哪些文件是否包含允许第三方读写权限
内容检测 —— 打开所有文件,查看内容是否涉及到个人数据及隐私数据,是否加密处理
apk 运行权限

这里我们需要安装apk后,安装方法有 2 种,如上所述,运行apk后,通过 ps 来查看 apk 的运行用户是什么

apk 权限

这里可以使用反编译的方式查看 apk 申请了哪些权限

日志

这里查看 apk 运行期间所打印的日志,通过 logcat 命令来查看

报文

这里查看 apk 在运行期间所有跟网络交互产生的报文,通过 tcpdump、fiddle2、wireshake 等工具均可

好了,今天先说到这里,下回继续说其他的
回复

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /2 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2019-9-21 12:59 , Processed in 0.056043 second(s), 24 queries .

Powered by Discuz! X3.2

© 2001-2019 Comsenz Inc.

快速回复 返回顶部 返回列表