2023APP靜態(tài)測(cè)試案例_第1頁
2023APP靜態(tài)測(cè)試案例_第2頁
2023APP靜態(tài)測(cè)試案例_第3頁
2023APP靜態(tài)測(cè)試案例_第4頁
2023APP靜態(tài)測(cè)試案例_第5頁
已閱讀5頁,還剩13頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

APP靜態(tài)測(cè)試案例目錄TOC\o"1-3"\h\u30721一.靜態(tài)測(cè)試 321471.DEX(classes.dex文件)代碼加密保護(hù) 3121582.原生庫(so文件)代碼加密保護(hù) 5287583腳本代碼(JS,,Lua、python等)加密保護(hù) 637214.敏感資源文件加密保護(hù) 6184785業(yè)務(wù)敏感文件(證書、配置等)加密保護(hù) 6315366運(yùn)行時(shí)簽名校驗(yàn) 7113357運(yùn)行時(shí)文件完整性校驗(yàn) 8155868使用不安全的加密算法 10227549使用不安全的哈希算法 121206210.二次打包(靜態(tài)文件篡改)檢測(cè) 131296411.不合理使用加密算法(如ECB模式) 151806712.應(yīng)用簽名、發(fā)布規(guī)范 162347513.運(yùn)行時(shí)簽名校驗(yàn) 162565514DEX代碼調(diào)試標(biāo)志位未關(guān)閉 17一.靜態(tài)測(cè)試1.DEX(classes.dex文件)代碼加密保護(hù)測(cè)試描述:對(duì)客戶端反編譯文件DEX進(jìn)行轉(zhuǎn)換,查看客戶端是否對(duì)JAVA源生代碼進(jìn)行加密混淆,是否能看到清晰的JAVA代碼。詳情及測(cè)試步驟:1.首先將目標(biāo)apk修改成.zip后綴的文件,然后解壓,提取.dex文件2.解壓.zip文件提取獲獲取的.dex文件3.接著用在dos窗口下打開dex2jar.bat與目標(biāo)dex文件打開dex文件具體如圖4.將獲取的在jd-gui中打開,即可查看JAVA源碼并分析其是否進(jìn)行加密混淆判斷依據(jù):是否能看到清晰的JAVA代碼2.原生庫(so文件)代碼加密保護(hù)測(cè)試描述:利用工具反編譯so文件,查看客戶端是否對(duì)C/C++源生代碼進(jìn)行加密混淆詳情及測(cè)試步驟:直接用IDApro打開apk,接著選擇需要反編譯的so文件使用IDApro反編譯選擇的so文件,看IDAPro是否能夠正確反編譯核心的代碼。判斷依據(jù):so文件是否能不反編譯成清晰的c\c++代碼3腳本代碼(JS,,Lua、python等)加密保護(hù)測(cè)試描述:查看客戶端是否明文存儲(chǔ)腳本代碼,腳本代碼包括JavaScript、Lua、Python等。詳情及其測(cè)試描述:首先將apk的文件后綴名改成.zip,然后解壓然后再利用windows的文件搜索功能搜索腳本文件對(duì)腳本文件進(jìn)行檢查,看是否還有業(yè)務(wù)敏感信息判斷依據(jù):腳本代碼是否含有業(yè)務(wù)敏感信息4.敏感資源文件加密保護(hù)測(cè)試描述:查看客戶端用戶登陸的xml文件是否明文存儲(chǔ)敏感信息,查看客戶端開發(fā)殘留或者需要保存在客戶端文件或信息是否加密。詳情、驗(yàn)證步驟:直接用androidkiller打開目標(biāo)apk。利用androidkiller的工程搜索功能,搜索登陸的xml文件或者客戶端開發(fā)殘留文件及需要保存在客戶端的文件或者信息判斷依據(jù):對(duì)應(yīng)的文件是否包含明文的業(yè)務(wù)敏感數(shù)據(jù)。5業(yè)務(wù)敏感文件(證書、配置等)加密保護(hù)測(cè)試描述:查看客戶端是否明文存儲(chǔ)用戶加密證書或者其他證書,查看客戶端是否明文存儲(chǔ)SDK等配置文件是否加密。詳情、驗(yàn)證步驟:1.直接用androidkiller打開目標(biāo)apk,查看apk配置文件AndroidMainfest.xml是否加密如下圖2.直接解壓apk文件,然后利用windows自帶的搜索文件功能查看證書,查看證書文件是否加密存儲(chǔ),未加密的證書文件如下所示。判斷依據(jù):加密證書或者其他證書是否是明文存儲(chǔ)6運(yùn)行時(shí)簽名校驗(yàn)測(cè)試描述:對(duì)應(yīng)用進(jìn)行破解,打包,重新采用第三方簽名發(fā)布,查看是否添加簽名校驗(yàn)。詳情、驗(yàn)證步驟:1.利用工具Android逆向助手對(duì)源apk進(jìn)行重新簽名,選擇apk后,選擇apk簽名選項(xiàng),然后點(diǎn)擊操作,如下圖。即可完成對(duì)目標(biāo)apk的重新簽名,然后將重新簽名后的APK安裝至手機(jī),查看能否正常運(yùn)行判斷依據(jù):重新簽名后的APK能否正常運(yùn)行7運(yùn)行時(shí)文件完整性校驗(yàn)測(cè)試描述:對(duì)客戶端進(jìn)行破解,植入廣告,打包,簽名運(yùn)行,查看運(yùn)行時(shí)是否對(duì)文件完整性進(jìn)行校驗(yàn)。詳情、驗(yàn)證步驟:對(duì)apk進(jìn)行解壓,并利用apktool反編譯dex文件,如下圖所示:篡改smali文件,這里我使用androidKILL修改再利用apktool重新編譯修改后的文件,即我們剛剛對(duì)反編譯的dex文件獲取的文件包。在手機(jī)上安裝,運(yùn)行之后,APK會(huì)終端運(yùn)行,這里就不截圖了。判斷依據(jù):修改后的apk能否正常運(yùn)行8使用不安全的加密算法測(cè)試描述:檢測(cè)移動(dòng)應(yīng)用在進(jìn)行敏感數(shù)據(jù)的加密存儲(chǔ)時(shí),是否采用了業(yè)界推薦的加密算法。詳情、驗(yàn)證步驟:使用AndroidKiller打開目標(biāo)APK.點(diǎn)擊下圖用紅色圈編制的地方即可查看到JAVA源碼,如圖所示。在源代碼中查找他的加密算法,他目標(biāo)APK使用的是不是業(yè)界推薦的加密算法,如下圖所示判斷依據(jù):是否使用業(yè)界推薦的安全的加密算法9使用不安全的哈希算法測(cè)試描述:檢測(cè)移動(dòng)應(yīng)用在使用哈希算法時(shí),是否使用了業(yè)界推薦的安全哈希算法。詳情、驗(yàn)證步驟:1.使用AndroidKiller打開目標(biāo)APK.2.點(diǎn)擊下圖用紅色圈編制的地方即可查看到JAVA源碼,如圖所示。在源代碼中搜尋所要哈希算法,并分析其是否是業(yè)界推薦的安全哈希算法判斷依據(jù):是否使用了業(yè)界推薦的安全哈希算法10.二次打包(靜態(tài)文件篡改)檢測(cè)測(cè)試描述:對(duì)程序進(jìn)行破解,植入廣告,打包,簽名運(yùn)行,查看是否正常運(yùn)行。 詳情、驗(yàn)證步驟:1.用Androidkiller對(duì)目標(biāo)APK進(jìn)行解壓,如下圖所示:隨機(jī)抽取一個(gè)資源文件進(jìn)行篡改,也在是在res文件夾下對(duì)資源文件進(jìn)行篡改在利用AndroidKILLER的編譯功能重新編譯,簽名步驟如下重新編譯后在手機(jī)上安卓上,看目標(biāo)APK能否正常運(yùn)行11.不合理使用加密算法(如ECB模式)測(cè)試描述:檢測(cè)移動(dòng)應(yīng)用在使用AES加密算法時(shí),是否使用了ECB模式。詳情、驗(yàn)證步驟:使用反編譯工具反編譯APK;分析源代碼中的加密算法模式。判斷依據(jù):使用AES加密算法時(shí)是否采用ECB模式12.應(yīng)用簽名、發(fā)布規(guī)范測(cè)試描述:檢測(cè)app發(fā)布版本的簽名信息是否為調(diào)試版本的簽名信息。詳情、驗(yàn)證步驟:1.使用JDK自帶的jarsigner.exe對(duì)APK包進(jìn)行檢查,命令:jarsigner-verify-verbose-certstest.apk效果如下圖所示:在彈出的簽名信息中尋找androiddebug字樣,如果有就是debug簽名,如果沒有就不是debug簽名。判斷依據(jù):判斷簽名相關(guān)的信息是否包含debug等信息。13.運(yùn)行時(shí)簽名校驗(yàn)測(cè)試描述:對(duì)應(yīng)用進(jìn)行破解,打包,重新采用第三方簽名發(fā)布,查看是否添加簽名校驗(yàn)。詳情、驗(yàn)證步驟:1.使用APKtoolBox對(duì)apk重新簽名2.在Android手機(jī)或者模擬器上安裝運(yùn)行apk,看APK是否能正常運(yùn)行判斷依據(jù):APK是否能正常運(yùn)行14DEX代碼調(diào)試標(biāo)志位未關(guān)閉測(cè)試描述:查看AndroidManifest.xml文件中的debuggable屬性值是否為true詳情、驗(yàn)證步驟:1.使用apktool

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論