android手機安全性測試手段


羅列一下自己常用的android手機安全性測試攻擊手段:

 

1. fiddler和tcpdump+wireshark抓包分析,模擬修改http請求參數,檢驗漏洞

2. 修改AndroidManifest.xml文件中debuggable屬性,打開logcat輸出,查看是否有敏感信息輸出

3. 將apk包轉換成jar包,反編譯出源碼,查看其是否混淆,或者能否通過代碼看出主要產品邏輯

4. 反編譯apk,結合反編譯出的源碼修改smali文件,輸出敏感信息,或者更改代碼邏輯

5. 對於一些jni調用so文件的apk包,可以結合反編譯的源碼自己嘗試調用so文件方法,ida查看修改so文件邏輯

6. Root 手機進入data/data目錄下查看緩存文件,數據庫中是否保存了敏感信息

7. 對於有些app調用.net dll可以嘗試Reflector反編譯源碼,弄清產品邏輯,同java反編譯一樣,而大多數C#代碼混淆的意識比java代碼混淆意識要弱很多

8. 對於開放平台相關的app,可以借助以上手段獲取開放平台接入的參數,結合平台文檔,以完成攻擊操作

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM