2020或许是每个平凡人
经历的最不平凡的一年
疫情打乱了我们许多对2020的期许
居家隔离的日子
内心充满了忐忑
2020这一年对我亦如此
趁着2021年新的开始
按照惯例回首2020
希望可以从年度回顾中
看到自己的成长与进步
在新的一年走得更好
Drozer-Android安全测试
Drozer简介
drozer是一款针对Android
系统的安全测试框架,它能够通过自身实现的协议,与Android
虚拟机进行交互扫描应用各种漏洞。
特点
- 更快的Android安全评估:
drozer
可以大大缩减Android
安全评估的耗时,通过攻击测试暴露Android APP
的漏洞。 - 支持真机模拟器:
drozer
运行在Android
模拟器和真实设备上。 - 自动化和扩展:
drozer
有很多扩展模块,可以发现更多Android
安全问题。
Android App数据安全测试
Android App
本地数据存储是使用SQLite
数据库,SQLite 是遵守ACID
的关系数据库管理系统,它包含在一个相对小的C
程序库中。与许多其它数据库管理系统不同,SQLite
不是一个客户端/服务器结构的数据库引擎,而是被集成在用户程序中。
如果你是应用程序开发人员,你可能还会注意到 SQLite
查询看起来或多或少像 SQL
一样。 在 Android
中选择 SQLite
的原因是其内存占用较低,也不需要设置或配置数据库,并且可以在应用程序中直接调用。
Android安全测试规范
安装包测试
安装包反编译测试
用例风险:源代码未做混淆使攻击者很轻易反编译出源代码导致代码泄漏风险。
执行步骤:使用反编译工具打开应用,如发现代码内未经过混淆,就说明存在应用可进行反编译,记录漏洞,停止测试。
预期结果:安装包中核心模块与敏感数据经过加密或者混淆
整改建议:建议使用Proguard
等工具对源码进行进一步混淆,避免造成源码泄漏。
Android APK反编译
什么是Android 反编译
我们下载到的Android App
安装包是 Apk
文件(Android Application Package
) 。通过 Apk
文件,我们也可以得到这个应用的代码和资源文件,对应用进行修改。
那么我们如何获取这些文件呢?这就需要 Android 反编译技术。
计算机逆向工程(Reverse engineering
)也称为计算机软件还原工程,是指通过对他人软件的目标程序(比如可执行程序)进行“逆向分析、研究”工作,以推导出他人的软件产品所使用的思路、原理、结构、算法、等要素,某些特定情况下可能推导出源代码。
Android 抓包工具——HttpCanary
简介
HttpCanary
是Android
平台下功能最强大的网络分析工具,支持TCP/UDP/HTTP/HTTPS/WebSocket
等多种协议,可以视为Android
平台下的Fiddler
和Charles
。
HttpCanary
的使用者需要掌握一定的计算机网络基础知识,且仅适用于以下使用场景:
Android
、前端和后端软件工程师对Rest
API
调试,定位网络编程中出现的bug。- 测试工程师编辑网络数据模拟不同业务场景,进行白盒或黑盒测试。
- 网络安全工程师对App和服务器网络通信的风险进行测试和验证。
iOS抓包工具—Stream
关于抓包工具我们很容易想到charles,Fiddler,Wireshark
这些常用的工具,但是如果我们抓包环境没有PC
或者PC
环境不可用,如:想在移动运营商网络环境下抓包,那么该怎样进行抓包呢?
Stream
是一款在iOS
端的网络抓包工具,该工具可以直接独立运行在iOS
设备,无需依赖PC
环境。Stream
面向对象为广大前端开发、客户端开发、后端开发、运维工程师、测试工程师以及具备一定网络分析能力的普通用户。
Charles抓包工具应用实践
简介
Charles
是一个HTTP
代理工具,使开发人员能够查看客服端和服务器之间的所有HTTP/ HTTPS/SSL
网络请求。Charles
是在PC
环境下常用的网络抓包截取工具,在做移动开发时,我们为了调试客户端与服务端的网络通讯协议,常常需要截取网络请求来分析。
Charles
通过将自己设置成系统的网络访问代理服务器,使得所有的网络访问请求都通过它来完成,从而实现了网络抓包的截取和分析。除了在做移动开发中调试接口外,Charles
也可以用于分析第三方应用的通讯协议。配合 Charles
的 SSL
功能,还可以分析 Https
协议。
App性能测试利器——Perfdog
PerfDog简介
PerfDog是一个移动全平台Android/iOS
性能测试、分析工具。可以快速定位分析性能问题。手机无需ROOT
/越狱,手机硬件、游戏及应用APP也无需做任何修改,极简化即插即用。