APP 安全测试(OWASP Mobile Top 10)--后篇之四
接续:APP 安全测试(OWASP Mobile Top 10)--后篇之三
M9-- ****
测试点:
- 应用完整性校验
- 逆向分析
- 二次打包
- 允许任意备份检测
测试工具:apktool, signapk
测试内容:
1. 上面已经介绍过反编译了,不细说:
2. 对于反编译的图片进行修改,修改里面的logo
3. 二次打包:
4. 重新签名:
5. 手机端验证:
注:这边可以看到,应用完整性,check-sum,二次打包做的都不好。
允许任意备份检测:
M10: 无关功能
测试点:
- 开发人员包括隐藏的后门功能或其他不打算发布到生产环境中的内部开发安全控件
- URL 修改
- 应用程序可以在被 root 或越狱手机中使用
- Back-and-Refresh 攻击
- 应用程序中包含过时的文件
- 没有显示最近登录信息
- 到期后或释放的资源操作
- ASLR没有被使用
- 剪切板未禁用
- 缓存粉碎未**
- Android备份检查
- 未实行可信任发布
- 允许所有 Hostname Verifier
- 弱自定义 Hostname Verifier
测试内容:
1. 绿色区域:后台服务相关,可以到后台服务器端分别check
2. 蓝色区域:查看反编译后源码,举最后一个弱自定义 Hostname Verifier:
这边自定义的Hostverify其实还是要的Default的,就属于弱自定义 Hostname Verifier
3. 应用程序root情况未处理:拿一台root机器装一下apk,看能不能正常打开。
4. 可信发布:检验证书,一般能够再app store和各大应用上面能找到apk,这块基本没问题。
5. 剪切板未禁用:这块需要看apk的敏感程度,敏感程度不一样,要求也不一样。
以上是个人对app的一些安全测试,如果觉得内容上有问题的或者你有更好的测试方法的,可以私信我。。。。