课程进度 63% · 第7/10章第7/10章 · 标签 1/3
— 1 —
移动应用测试基础概念
移动应用测试是针对Android、iOS等移动端App进行安全性评估,发现应用在数据存储、通信、权限、加密、逆向等方面的安全隐患。测试内容涵盖本地存储、网络通信、组件滥用、代码安全、第三方库等多个层面。
- 目标:发现移动App中的安全漏洞,防止数据泄露和被攻击
- 范围:APK/IPA包、App本地存储、网络接口、系统权限、加密实现等
- 方法:静态分析+动态分析+逆向工程+手工测试
bash
1
# APK反编译
2
apktool d app.apk -o out
3
4
# iOS砸壳
5
frida -U -f com.example.app -l dump.js --no-pause
6
7
# 抓包分析
8
mitmproxy -p 8080
— 2 —
测试流程
- 环境准备:搭建测试手机/模拟器、抓包代理、root/jailbreak
- 静态分析:反编译App,分析代码、资源、配置
- 动态分析:运行时监控、Hook、流量抓取、行为分析
- 逆向工程:分析加密算法、协议、关键逻辑
- 漏洞验证:手动复现和确认漏洞
- 报告编写:整理漏洞细节和修复建议
bash
1
# Android抓取本地数据库
2
adb shell "run-as com.example.app cat /data/data/com.example.app/databases/user.db > /sdcard/user.db"
3
adb pull /sdcard/user.db
4
5
# iOS查看Keychain
6
security dump-keychain -d login.keychain-db
7
8
# Frida注入脚本
9
frida -U -f com.example.app -l hook.js --no-pause