Sutune

静心成大器, 稳定动乾坤


  • 首页

  • 标签

  • 分类

  • 归档

  • 关于

  • 搜索

忐忑2020,2021未来可期

发表于 2021-01-17 | 分类于 生活影志

2020或许是每个平凡人
经历的最不平凡的一年
疫情打乱了我们许多对2020的期许
居家隔离的日子
内心充满了忐忑
2020这一年对我亦如此
趁着2021年新的开始
按照惯例回首2020
希望可以从年度回顾中
看到自己的成长与进步
在新的一年走得更好

阅读全文 »

Drozer-Android安全测试

发表于 2020-11-29 | 分类于 App安全测试

Drozer简介

drozer是一款针对Android系统的安全测试框架,它能够通过自身实现的协议,与Android虚拟机进行交互扫描应用各种漏洞。

特点

  • 更快的Android安全评估:drozer可以大大缩减Android安全评估的耗时,通过攻击测试暴露Android APP的漏洞。
  • 支持真机模拟器:drozer运行在Android模拟器和真实设备上。
  • 自动化和扩展: drozer有很多扩展模块,可以发现更多Android安全问题。
阅读全文 »

Android App数据安全测试

发表于 2020-09-09 | 分类于 App安全测试

Android App本地数据存储是使用SQLite数据库,SQLite 是遵守ACID的关系数据库管理系统,它包含在一个相对小的C程序库中。与许多其它数据库管理系统不同,SQLite不是一个客户端/服务器结构的数据库引擎,而是被集成在用户程序中。

如果你是应用程序开发人员,你可能还会注意到 SQLite 查询看起来或多或少像 SQL 一样。 在 Android 中选择 SQLite 的原因是其内存占用较低,也不需要设置或配置数据库,并且可以在应用程序中直接调用。

阅读全文 »

Android安全测试规范

发表于 2020-09-05 | 分类于 App安全测试

安装包测试

安装包反编译测试

用例风险:源代码未做混淆使攻击者很轻易反编译出源代码导致代码泄漏风险。

执行步骤:使用反编译工具打开应用,如发现代码内未经过混淆,就说明存在应用可进行反编译,记录漏洞,停止测试。

预期结果:安装包中核心模块与敏感数据经过加密或者混淆

整改建议:建议使用Proguard等工具对源码进行进一步混淆,避免造成源码泄漏。

阅读全文 »

Android APK反编译

发表于 2020-09-03 | 分类于 App安全测试

什么是Android 反编译

我们下载到的Android App 安装包是 Apk文件(Android Application Package) 。通过 Apk 文件,我们也可以得到这个应用的代码和资源文件,对应用进行修改。

那么我们如何获取这些文件呢?这就需要 Android 反编译技术。

计算机逆向工程(Reverse engineering)也称为计算机软件还原工程,是指通过对他人软件的目标程序(比如可执行程序)进行“逆向分析、研究”工作,以推导出他人的软件产品所使用的思路、原理、结构、算法、等要素,某些特定情况下可能推导出源代码。

阅读全文 »

Android 抓包工具——HttpCanary

发表于 2020-09-01 | 分类于 App安全测试

简介

HttpCanary是Android平台下功能最强大的网络分析工具,支持TCP/UDP/HTTP/HTTPS/WebSocket等多种协议,可以视为Android平台下的Fiddler和Charles。

HttpCanary的使用者需要掌握一定的计算机网络基础知识,且仅适用于以下使用场景:

  • Android、前端和后端软件工程师对Rest API调试,定位网络编程中出现的bug。
  • 测试工程师编辑网络数据模拟不同业务场景,进行白盒或黑盒测试。
  • 网络安全工程师对App和服务器网络通信的风险进行测试和验证。
阅读全文 »

处暑.庐山恋

发表于 2020-09-01 | 分类于 生活影志

image

不知庐山真面目,只缘身在此山中。
对于庐山的印象更多的是在这首诗句之中。
当然还有庐山瀑布,庐山恋电影。
长沙连日的酷暑只想让人找寻一片清凉之地。
看到庐山也是避暑胜地,特别是山顶的小镇牯岭镇。
就是英语单词Cooling音译而来。
于是买了高铁票便直接前去庐山。

阅读全文 »

iOS抓包工具—Stream

发表于 2020-08-31 | 分类于 App安全测试

关于抓包工具我们很容易想到charles,Fiddler,Wireshark这些常用的工具,但是如果我们抓包环境没有PC或者PC环境不可用,如:想在移动运营商网络环境下抓包,那么该怎样进行抓包呢?

Stream是一款在iOS端的网络抓包工具,该工具可以直接独立运行在iOS设备,无需依赖PC环境。
Stream面向对象为广大前端开发、客户端开发、后端开发、运维工程师、测试工程师以及具备一定网络分析能力的普通用户。

阅读全文 »

Charles抓包工具应用实践

发表于 2020-08-27 | 分类于 App安全测试

简介

Charles是一个HTTP代理工具,使开发人员能够查看客服端和服务器之间的所有HTTP/ HTTPS/SSL网络请求。
Charles是在PC环境下常用的网络抓包截取工具,在做移动开发时,我们为了调试客户端与服务端的网络通讯协议,常常需要截取网络请求来分析。

Charles通过将自己设置成系统的网络访问代理服务器,使得所有的网络访问请求都通过它来完成,从而实现了网络抓包的截取和分析。除了在做移动开发中调试接口外,Charles 也可以用于分析第三方应用的通讯协议。配合 Charles 的 SSL 功能,还可以分析 Https 协议。

阅读全文 »

App性能测试利器——Perfdog

发表于 2020-08-21 | 分类于 App性能测试

PerfDog简介

PerfDog是一个移动全平台Android/iOS性能测试、分析工具。可以快速定位分析性能问题。手机无需ROOT/越狱,手机硬件、游戏及应用APP也无需做任何修改,极简化即插即用。

阅读全文 »
123…15
Sutune

Sutune

142 日志
8 分类
18 标签
GitHub TesterHome E-Mail 知乎
© 2015 — 2021 Sutune
由 CloudBase Webify 提供网站托管服务
|
主题 — NexT.Gemini v5.1.4