Sutune

伴随着Android app的越来越多的应用，关于Android app的安全漏洞也在不断地出现，在面对一个安卓应用时，如何对它进行安全测试，本文将对安全测试方面进行一些介绍。

什么是Android 反编译

我们下载到的Android App 安装包是 Apk 文件（Android Application Package） 。通过 Apk 文件，我们也可以得到这个应用的代码和资源文件，对应用进行修改。

那么我们如何获取这些文件呢？这就需要 Android 反编译技术。

不知庐山真面目，只缘身在此山中
对于庐山的印象更多的是在这首诗句之中
当然还有庐山瀑布，庐山恋电影
长沙连日的酷暑只想让人找寻一片清凉之地
看到庐山也是避暑胜地，特别是山顶的小镇牯岭镇
就是英语单词Cooling音译而来
于是买了高铁票便直接前去庐山
…

简介

HttpCanary是Android平台下功能最强大的网络分析工具，支持TCP/UDP/HTTP/HTTPS/WebSocket等多种协议，可以视为Android平台下的Fiddler和Charles。

HttpCanary的使用者需要掌握一定的计算机网络基础知识，且仅适用于以下使用场景：

• Android、前端和后端软件工程师对Rest API调试，定位网络编程中出现的bug。
• 测试工程师编辑网络数据模拟不同业务场景，进行白盒或黑盒测试。
• 网络安全工程师对App和服务器网络通信的风险进行测试和验证。

简介

关于抓包工具我们很容易想到charles,Fiddler,Wireshark这些常用的工具，但是如果我们抓包环境没有PC或者PC环境不可用，如：想在移动运营商网络环境下抓包，那么该怎样进行抓包呢？

简介

Charles是一个HTTP代理工具，使开发人员能够查看客服端和服务器之间的所有HTTP/ HTTPS/SSL网络请求。
Charles是在PC环境下常用的网络抓包截取工具，在做移动开发时，我们为了调试客户端与服务端的网络通讯协议，常常需要截取网络请求来分析。

PerfDog简介

PerfDog是一个移动全平台Android/iOS性能测试、分析工具。可以快速定位分析性能问题。手机无需ROOT/越狱，手机硬件、游戏及应用APP也无需做任何修改，极简化即插即用。

简介

Cycript是由Cydia创始人Saurik推出的一款脚本语言，Cydia的主要目的是为越狱的iOS用户提供的一个装包工具。据说Cydia之父Saurik，曾经也是给iPhone写程序的，后来他写了一个视频拍摄软件而苹果没允许上架，他一气之下就开了Cydia软件商店，专门收留不被苹果通过的软件。

Cycript混合了OC和JavaScript语法的解释器，这意味着我们能够在一个命令中使用OC或者JavaScript，甚至两者并用。它能够Hook(挂钩)正在运行的进程，能够在运行时修改很多东西。

安全扫描平台

目前有很多App安全扫描平台如360漏洞扫描，腾讯金刚审计系统等等。这些安全扫描平台的功能如下:

脱壳背景

我们日常开发提交给Appstore发布的App都经过官方保护加密，这样可以保证机器上跑的应用是经过苹果审核过的，也可以管理软件授权。经过App Store加密的应用，我们无法通进行反编译静态分析，在逆向分析过程中需要对加密的二进制文件进行解密才可以进行静态分析，这一过程就是所谓的脱壳（砸壳）。