一: apk安全测试
对于一款android的apk程序,主要进行的测试分两部分:
1) 接口测试 ---接口测试实际上是常见的web安全测试
2) android组件测试 --组件测试实际上是android应用程序内部使用组件的安全测试
1. 接口测试:
内部封装了一系列web应用操作接口,实际测试跟常规的web安全测试没有区别。只不过由于实际的不安全wifi环境,对于移动app调用web接口,涉及到敏感的用户信息,包括用户名,密码,微博的gisd等使用http明文传输。。。
1)测试方法:
2)测试工具
3)常见的漏洞
4)安全防护
2.android组件测试:
对于android组件测试,就涉及到了apk反汇编的一些知识了,目前测试工具较多,如:apk改之理,drozer,以及测试框架通过这两个小工具来反编译apk是很方便滴。我们安全测试的会涉及的组件包括WebView,和android四大组件Activity、Service、Broadcast Receiver、Content Provider。
WebView测试:
四大组件测试:
二 相关资料
AndroidManifest.xml文件的安全问题:http://blog.csdn.net/sinat_15877283/article/details/50903606
AndroidManifest.xml文件介绍: http://blog.csdn.net/primer_programer/article/details/27917363
较好的资料网站: http://www.droidsec.cn/
android app部分安全问题: http://www.cnblogs.com/minyc/p/myc201608261032.html
Android属性allowBackup介绍:http://jaq.alibaba.com/blog.htm?id=57
拒绝服务攻击:
利用方法、原理:
http://blog.csdn.net/viviancheng666/article/details/48132897
http://blog.csdn.net/youngphoenix/article/details/52757595
整改建议:
http://jaq.alibaba.com/blog.htm?id=55