android测试简单思路
本帖最后由 airs-sec 于 2018-11-13 16:34 编辑android测试简单思路
1.首先通过,https://appscan.io,这个网站,或其他的在线app测试平台进行测试。http://sanddroid.xjtu.edu.cn/#home
2.查看是否是服务端运用(client端只是用来处理数据,具体数据存放在服务端)。
模拟器/真实设备设置代{过}{滤}理,利用burp/webzap对其进行抓包。
测试登录用户名、密码是否加密,或其他是否存在越权漏洞,同时,也可以利用burp的漏洞扫描功能,对服务器端进行扫描测试,测试是否有sql注入、xss跨站等等web漏洞。
主要包括:
[*]服务器配置错误
[*]服务器代码或脚本漏洞
[*]由于过去的错误而可能暴露的数据
[*]测试已知的漏洞
[*]
3.测试完后,对app进行反编译,看是存在二进制保护、不安全的数据存储、数据泄露、不安全的认证类的问题。
常见问题:
[*]对应用程序进行中间人(MITM)攻击的脆弱性
[*]敏感数据在移动设备上的不安全存储
[*]使用不安全的密码
[*]会话管理薄弱
[*]未经授权访问其他用户的帐户
[*]SQL注入
[*]服务器配置错误
[*]命令注入
[*]后门和调试选项
[*]触发敏感信息漏洞的错误
[*]破坏ACL /弱密码
常用的工具
https://mobilesecuritywiki.com/ 之前不太了解Android测试的思路,看到这篇帖子感觉自己已经有了一个大概的测试思路,感谢楼主分享! yc19951005 发表于 2018-11-13 16:55
http://sanddroid.xjtu.edu.cn/#home打不开啊
还有那个工具地址 也打不开
国内打不开,需要翻墙。 http://sanddroid.xjtu.edu.cn/#home打不开啊
还有那个工具地址 也打不开 测试钓鱼的吗 app调试? 可以可以!!! 学习一下好东西 学习了,有用 钓鱼测试? 学习了 谢谢楼主