好友
阅读权限10
听众
最后登录1970-1-1
|
本帖最后由 airs-sec 于 2018-11-13 16:34 编辑
android测试简单思路
1.首先通过,https://appscan.io,这个网站,或其他的在线app测试平台进行测试。http://sanddroid.xjtu.edu.cn/#home
2.查看是否是服务端运用(client端只是用来处理数据,具体数据存放在服务端)。
模拟器/真实设备设置代{过}{滤}理,利用burp/webzap对其进行抓包。
测试登录用户名、密码是否加密,或其他是否存在越权漏洞,同时,也可以利用burp的漏洞扫描功能,对服务器端进行扫描测试,测试是否有sql注入、xss跨站等等web漏洞。
主要包括:
- 服务器配置错误
- 服务器代码或脚本漏洞
- 由于过去的错误而可能暴露的数据
- 测试已知的漏洞
3.测试完后,对app进行反编译,看是存在二进制保护、不安全的数据存储、数据泄露、不安全的认证类的问题。
常见问题:
- 对应用程序进行中间人(MITM)攻击的脆弱性
- 敏感数据在移动设备上的不安全存储
- 使用不安全的密码
- 会话管理薄弱
- 未经授权访问其他用户的帐户
- SQL注入
- 服务器配置错误
- 命令注入
- 后门和调试选项
- 触发敏感信息漏洞的错误
- 破坏ACL /弱密码
常用的工具
https://mobilesecuritywiki.com/ |
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2018-11-13 16:32
|
发表于 2018-11-14 17:16
