目前安卓應(yīng)用的安全現(xiàn)狀,隨著安卓應(yīng)用的快速暴漲购对,相應(yīng)的漏洞也逐漸增加猾昆。同時(shí),市場上也出現(xiàn)了專業(yè)的安卓應(yīng)用測試工具:愛內(nèi)測/testin骡苞,個(gè)人認(rèn)為testin的兼容性測試還是不錯(cuò)的垂蜗。一般測試的過程如下:
1、安裝包測試
安裝包結(jié)構(gòu)解幽、能不反編譯出源代碼贴见、安裝包是否簽名、重要函數(shù)躲株、邏輯片部、加密算法、是否開啟PIE?Flag霜定。???
2档悠、數(shù)據(jù)傳輸測試
關(guān)鍵數(shù)據(jù)是否加密、客戶端對(duì)服務(wù)器驗(yàn)證然爆、傳輸加密站粟、偽造;通過設(shè)置代理或使用第三方抓包工具黍图,對(duì)應(yīng)用發(fā)送與接收的數(shù)據(jù)包進(jìn)行截獲曾雕、重發(fā)、編輯助被、轉(zhuǎn)存等惡意操作剖张。???
3、數(shù)據(jù)驗(yàn)證測試
程序是否對(duì)數(shù)據(jù)合法性校驗(yàn)揩环,檢查加密是否可逆搔弄,可攥改。程序是否對(duì)數(shù)據(jù)合法性進(jìn)行了校驗(yàn)丰滑。???
4顾犹、數(shù)據(jù)存儲(chǔ)測試
是否保存手機(jī)號(hào)、密碼等敏感信息褒墨、日志中是否存敏感信息炫刷、數(shù)據(jù)是否被別的應(yīng)用訪問、硬編碼郁妈、日志浑玛、內(nèi)存、調(diào)試信息噩咪、組件
(Activity/Service/Receiver/Provider)Keychain顾彰、屏幕快照极阅、鍵盤存儲(chǔ)。??
?5涨享、安全增強(qiáng)測試
從服務(wù)端安全筋搏、鍵盤劫持、進(jìn)程保護(hù)厕隧、第三方SDK安全檢測拆又。???
6、安全策略測試
密碼策略栏账、登陸次數(shù)帖族、密碼保護(hù)機(jī)制、會(huì)話保護(hù)策略挡爵。
