移动互联网安全性测试技术简介

我们在讲“移动互联网安全性测试技术”之前,先来了解下移动互联网安全测评服务!它的整个生命周期包含安全检测、安全评估、安全加固和APP发布渠道监测。

  1. 安全检测

    对象:所有待上线的APP

    目标:防止恶意软件流入应用市场

    内容:对APP进行安全性检测,检测APP是否存在病毒、木马等恶意代码

  2. 安全评估

    对象:对安全性要求较高的APP

    目标:发现通过APP给业务带来的安全风险

    内容:对APP进行安全性评测,评测APP和业务流程是否存在安全风险和漏洞

  3. 安全加固

    对象:所有待上线的APP

    目标:对APP进行二进制级别的保护,防止被非法修改,防止被插入恶意代码等

    内容:对APP安装包进行安全加固和封装,防止被非法破解、篡改和盗版等

  4. APP发布渠道监测

    对象:所有待上线的APP

    目标:监测APP的被盗版和修改的现状情况等

    内容:监测与APP相关的发布渠道,监测app被盗版和篡改的情况

接下来,我们再来看看移动互联网安全性测试有哪些技术手段?

  1. 传输安全
  2. 明文流量
  3. 不当的会话处理
  4. 正确验证SSL证书
  5. 编译器的保护
  6. 反破解保护
  7. PIE编译
  8. 用stack cookies编译
  9. 自动引用计数
  10. uiwebviews
  11. 数据验证(输入,输出)
  12. 分析UIWebView的实现
  13. 不安全的数据存储
  14. SQLlite数据库
  15. 文件缓存
  16. 检查属性列表文件
  17. 请检查日志文件
  18. Logging
  19. 自定义日志
  20. nslog报表
  21. 崩溃报告文件
  22. 二元分析
  23. 分解应用
  24. 检测的汇编代码保护混淆
  25. 检测防篡改保护
  26. 检测反调试保护
  27. 协议处理程序
  28. 客户端注入
  29. 第三方的库

最后,我们来了解下APP常见漏洞与风险:

  1. 静态破解

    通过工具apktool、dex2jar、jd-gui、DDMS、签名工具,可以对任何一个未加密应用进行静态破解,窃取源码。

  2. 二次打包

    通过静态破解获取源码,嵌入恶意病毒、广告等行为再利用工具打包、签名,形成二次打包应用。

  3. 本地储存数据窃取

    通过获取root权限,对手机中应用储存的数据进行窃取、编辑、转存等恶意行为,直接威胁用户隐私。

  4. 界面截取

    通过adb shell命令或第三方软件获取root权限,在手机界面截取用户填写的隐私信息,随后进行恶意行为。

  5. 输入法攻击

    通过对系统输入法攻击,从而对用户填写的隐私信息进行截获、转存等恶意操作,窃取敏感信息。

  6. 协议抓取

    通过设置代理或使用第三方抓包工具,对应用发送与接收的数据包进行截获、重发、编辑、转存等恶意操作。

特此声明:大家在学习实践过程中,请遵守相关互联网法律法规,不要做违法违规行为!

版权声明:本文为博主原创文章,未经博主允许不得转载。

时间: 2024-11-10 08:33:31

移动互联网安全性测试技术简介的相关文章

web应用程序测试方法和测试技术详述

1.界面测试 现在一般人都有使用浏览器浏览网页的经历,用户虽然不是专业人员但是对界面效果的印象是很重要的.如果你注重这方面的测试,那么验证应用程序是否易于使用就非常重要了.很多人认为这是测试中最不重要的部分,但是恰恰相反界面对不懂技术的客户来说那相当关键,慢慢体会你会明白的. 方法上可以根据设计文档,如果够专业的话可以专业美工人员,来确定整体风格页面风格,然后根据这个可以页面人员可以生成静态的HTML,CSS等甚至生成几套不用的方案来讨论,或者交给客户评审,最后形成统一的风格的页面/框架.注意不

客户端GUI测试技术和自动化测试架构设计简谈

客户端自动化特点 客户端的自动化,通常做过的人都不是很愿意深入讨论.因为除了功能和逻辑之外,不得不面对各种界面变化,各种和环境交互,各种兼容问题以及想不到灰色地带,就算这样,也找不到太多有效的bug.然而即便如此,客户端的自动化必须去做,尤其是GUI的.它的自动化特点是: 复杂 成本高 不容易发现问题 技术要求高 架构很难通用 下面,从一些基本的东西开始一点点的讨论客户端GUI测试的一些问题和处理办法,以及自动化架构设计的一些思路.事实上就像上面说的,GUI的测试并不是为了发现bug,而是回归的

AJAX技术简介及入门实例

最近在学校参加暑期实习,参与的是一个社交网站项目,学长那边分配给的任务是前端开发,需要学习AJAX技术. 对于一个像我一样刚刚接触Web开发且无多少实际项目经验的新手而言,AJAX技术显得复杂而又深奥.经过两天的baidu.google,我对AJAX的基本原理有了一个大致的认识,在此总结一下. 1. 什么是AJAX? AJAX全称是异步的JavaScript和XML,是Asynchronous JavaScript and XML的缩写.AJAX技术用于创建交互式网页应用的网站开发,至于何为异步

[深度学习概念]·声纹识别技术简介

声纹识别技术简介 声纹识别,也称作说话人识别,是一种通过声音判别说话人身份的技术.从直觉上来说,声纹虽然不像人脸.指纹的个体差异那样直观可见,但由于每个人的声道.口腔和鼻腔也具有个体的差异性,因此反映到声音上也具有差异性.如果说将口腔看作声音的发射器,那作为接收器的人耳生来也具备辨别声音的能力. 最直观的是当我们打电话给家里的时候,通过一声“喂?”就能准确地分辨出接电话的是爸妈或是兄弟姐妹,这种语音中承载的说话人身份信息的唯一性使得声纹也可以像人脸.指纹那样作为生物信息识别技术的生力军,辅助甚至

互联网前端开发技术栈

互联网前端开发技术栈 前言 互联网建立60多年了,网站开发技术日新月异,但web前端始终离不开浏览器,最终还是HTML+JavaScript+CSS这3个核心,围绕这3个核心而开发出来大量技术框架/解决方案. 我从2000年初开始做网站开发,使用的技术不断迭代,一些消失了,更多的出现了. 最近写过  .NET技术大系概览 (迄今为止最全的.NET技术栈) ,相信很多网友感叹掌握的.NET技术远没有这个技术栈里面所描述的多. 问题 大家是否想过: Web前端开发究竟包含哪些技术呢? 我所掌握的技术

国外的一些测试技术网站

http://bdonline.sqe.com/ 一个关于网站测试方面的网页,对这方面感兴趣的人可以参考 http://citeseer.nj.nec.com/ 一个丰富的电子书库,内容很多,而且提供著作的相关文档参考和下载,是作者非常推荐的一个资料参考网站 http://groups.yahoo.com/group/LoadRunner 性能测试工具LoadRunner的一个论坛 http://groups.yahoo.com/grorp/testing-paperannou-nce/mess

入门级----黑盒测试、白盒测试、手工测试、自动化测试、探索性测试、单元测试、性能测试、数据库性能、压力测试、安全性测试、SQL注入、缓冲区溢出、环境测试

黑盒测试 黑盒测试把产品软件当成是一个黑箱子,只有出口和入口,测试过程中只要知道往黑盒中输入什么东西,知道黑盒会出来什么结果就可以了,不需要了解黑箱子里面是如果做的. 即测试人员不用费神去理解软件里面的具体构成和原理,只要像用户一样看待产品就可以了. 例如银行转账功能,不需要知道转账的具体实现代码是怎样工作的,只需要把自己想象成各种类型的用户,模拟多种转账情况看系统是否能正常转账即可. 但是仅仅像用户一样去测试又是不够的.如果只做黑盒测试,必然是存在一定的风险的. 例如某个安全性较高的软件系统,

互联网金融系统技术沙龙:小米风控实践

导读:最近上映的 魔兽世界有一句话"光明源于黑暗,黑暗涌现光明",和互联网金融的安全风控领域非常相似.在 6 月 19 日,微博商业产品部联合小米支付等金融技术团队策划了首届互联网金融系统沙龙,围绕在互联网金融过程中碰到系统安全等问题与业界展开分享及交流.本文是邓文俊在沙龙上的演讲,授权高可用架构首发. 邓文俊,小米高级研发工程师,2013 年加入小米,参与了数据后台,风控系统,支付等系统的研发工作. 我来自小米支付,今天分享的主题是小米风控实践.为什么选风控这个题目?其实在我看来风控

国外的一些测试技术网站(转载)

国外的一些测试技术网站 http://bdonline.sqe.com/ 一个关于网站测试方面的网页,对这方面感兴趣的人可以参考 http://citeseer.nj.nec.com/ 一个丰富的电子书库,内容很多,而且提供著作的相关文档参考和下载,是作者非常推荐的一个资料参考网站 http://groups.yahoo.com/group/LoadRunner 性能测试工具LoadRunner的一个论坛 http://groups.yahoo.com/grorp/testing-paperan