2020或许是每个平凡人
经历的最不平凡的一年
疫情打乱了我们许多对2020的期许
居家隔离的日子
内心充满了忐忑
2020这一年对我亦如此
趁着2021年新的开始
按照惯例回首2020
希望可以从年度回顾中
看到自己的成长与进步
在新的一年走得更好

Drozer简介

drozer是一款针对Android系统的安全测试框架，它能够通过自身实现的协议，与Android虚拟机进行交互扫描应用各种漏洞。

特点

• 更快的Android安全评估:drozer可以大大缩减Android安全评估的耗时，通过攻击测试暴露Android APP的漏洞。
• 支持真机模拟器:drozer运行在Android模拟器和真实设备上。
• 自动化和扩展: drozer有很多扩展模块，可以发现更多Android安全问题。

Android App本地数据存储是使用SQLite数据库,SQLite 是遵守ACID的关系数据库管理系统，它包含在一个相对小的C程序库中。与许多其它数据库管理系统不同，SQLite不是一个客户端/服务器结构的数据库引擎，而是被集成在用户程序中。

如果你是应用程序开发人员，你可能还会注意到 SQLite 查询看起来或多或少像 SQL 一样。 在 Android 中选择 SQLite 的原因是其内存占用较低,也不需要设置或配置数据库，并且可以在应用程序中直接调用。

安装包测试

安装包反编译测试

用例风险：源代码未做混淆使攻击者很轻易反编译出源代码导致代码泄漏风险。

执行步骤：使用反编译工具打开应用，如发现代码内未经过混淆，就说明存在应用可进行反编译，记录漏洞，停止测试。

预期结果：安装包中核心模块与敏感数据经过加密或者混淆

整改建议：建议使用Proguard等工具对源码进行进一步混淆，避免造成源码泄漏。

什么是Android 反编译

我们下载到的Android App 安装包是 Apk文件（Android Application Package） 。通过 Apk 文件，我们也可以得到这个应用的代码和资源文件，对应用进行修改。

那么我们如何获取这些文件呢？这就需要 Android 反编译技术。

计算机逆向工程（Reverse engineering）也称为计算机软件还原工程，是指通过对他人软件的目标程序（比如可执行程序）进行“逆向分析、研究”工作，以推导出他人的软件产品所使用的思路、原理、结构、算法、等要素，某些特定情况下可能推导出源代码。

简介

HttpCanary是Android平台下功能最强大的网络分析工具，支持TCP/UDP/HTTP/HTTPS/WebSocket等多种协议，可以视为Android平台下的Fiddler和Charles。

HttpCanary的使用者需要掌握一定的计算机网络基础知识，且仅适用于以下使用场景：

• Android、前端和后端软件工程师对Rest API调试，定位网络编程中出现的bug。
• 测试工程师编辑网络数据模拟不同业务场景，进行白盒或黑盒测试。
• 网络安全工程师对App和服务器网络通信的风险进行测试和验证。

不知庐山真面目，只缘身在此山中。
对于庐山的印象更多的是在这首诗句之中。
当然还有庐山瀑布，庐山恋电影。
长沙连日的酷暑只想让人找寻一片清凉之地。
看到庐山也是避暑胜地，特别是山顶的小镇牯岭镇。
就是英语单词Cooling音译而来。
于是买了高铁票便直接前去庐山。

关于抓包工具我们很容易想到charles,Fiddler,Wireshark这些常用的工具，但是如果我们抓包环境没有PC或者PC环境不可用，如：想在移动运营商网络环境下抓包，那么该怎样进行抓包呢？

Stream是一款在iOS端的网络抓包工具，该工具可以直接独立运行在iOS设备，无需依赖PC环境。
Stream面向对象为广大前端开发、客户端开发、后端开发、运维工程师、测试工程师以及具备一定网络分析能力的普通用户。

简介

Charles是一个HTTP代理工具，使开发人员能够查看客服端和服务器之间的所有HTTP/ HTTPS/SSL网络请求。
Charles是在PC环境下常用的网络抓包截取工具，在做移动开发时，我们为了调试客户端与服务端的网络通讯协议，常常需要截取网络请求来分析。

Charles通过将自己设置成系统的网络访问代理服务器，使得所有的网络访问请求都通过它来完成，从而实现了网络抓包的截取和分析。除了在做移动开发中调试接口外，Charles 也可以用于分析第三方应用的通讯协议。配合 Charles 的 SSL 功能，还可以分析 Https 协议。

PerfDog简介

PerfDog是一个移动全平台Android/iOS性能测试、分析工具。可以快速定位分析性能问题。手机无需ROOT/越狱，手机硬件、游戏及应用APP也无需做任何修改，极简化即插即用。