籍app安全检测指南-v1 0.pdf

V -1.0 APP 安全检测指南 - Panda 【Android】 作者：Panda Blog ： 首发于： T00LS APP 安全检测指南 - PANDA 【0x01】前言 前一段时间业务应求，需要测试一个 APP，谷歌、 、土司和九零有哪些信誉好的足球投注网站了一下，发现 这方面的资料太少了，完整的测试流程、测试概要更是没有。所以有了这一篇文章。文章通 过业务中的测试要点（如下图）进行了实例测试或者说明，同时 了公司的APP 测试白皮 书进行了补充说明，算是一个手册吧。 ：本文章仅作为业务中的APP 渗透测试指南使用，请勿用于非法行为。本文首发 于土司， 任何人 ！谢谢！ 【0x02】测试环境 SDK J a JDK，Android SDK 工具 7zip，dex2jar，jd-gui，apktool，activity 劫持测试工具等（部分工具见附录 ） 1 APP 安全检测指南 - PANDA 【0x03】客户端程序安全 1.安装包签名 描述 在 Android 中，包名相同的两个APK 会被认为是同一个应用。当新版本覆盖旧版本时， 签名 必须一致，否则会被拒绝。（即使开启了 “允许未知来源的应用”）。如果APK 没有 使用自己的 进行签名，将会失去对版本管理的主动权。本项检测是检测客户端是否经过 恰当签名（正常情况下应用都应该是签名的，否则无法安装），签名是否符合规范。 测试步骤 使用 JDK 中的 jarsigner.exe 检查安装包的签名，命令如下： jarsigner.exe -verify APK 文件路径 -verbose -certs 以土司APP 为例，测试结果如下： 如上图，说明测试结果为安全。 要说明的是，只有在使用直接客户的 签名时，才认为安全。Debug 、第 （如 开发方） 等等均认为风险。 如下图就是认为存在风险： 2 APP 安全检测指南 - PANDA 威胁等级 安装包签名的威胁等级判断一般如下： 若客户端安装包签名有异常（例如签名 为第 开发商而不是客户端发布方），此 时高风险；若无异常则无风险。 安全建议 将安装包进行签名并检测安装包签名的异常。 2.反编译保护 描述 测试客户端安装程序，判断是否能反编译为源代码，j a 代码和 so 文件是否存在代 码混淆等保护措施。未作保护的 j a 代码，可以轻易 其运行逻辑，并针对代码中的 缺陷对客户端或 端进行攻击。 成功的反编译将使得攻击者能够完整地 APP 的运行逻辑，尤其是相关业务接口协 议、和通信加密的实现。 科普 smali 语言是一种 Android 系统特有的中间代码语言。Android 系统的 JVM 与其它常见 操作系统有所区别，使用 Dalvik 指令（可执行文件为*.dex）代替了通常的JVM 中间代码 （可执行文件为*.class、*.jar）。对应Dalvik 指令的 “汇编语言”便是 smali。因此， 从*.dex 中恢复 smali 代码比恢复 J A 代码要容易，成功率更高，但可读性差。尽管如 3 APP 安全检测指南 - PANDA 此，如果 APK 经过花指令处理，也会导致无法恢