安裝包測試主要包括以下幾點:
1、反編譯**;
2、安裝包簽名;
3、完整性校驗;
4、許可權設定檢查。
下面對以上幾點做詳細介紹:
1、反編譯**:移動應用發出去後終端使用者獲得乙個程式安裝包,我們需關注使用者能否從這個安裝包中獲取專案的源**。從安全方面考慮,程式開發人員是否會在程式源**中硬編碼一些敏感資訊,如密碼等。常用的反編譯方法是使用dex2jar工具並結合jd-gui工具(j**a的反編譯工具)檢視源**。
找到我們準備測試用的apk,並將 字尾.apk改為.zip
將test.zip解壓,並檢視目錄,找到classes.dex
並將這個檔案拷至dex2jar工具存放目錄下
開啟控制台,使用cd指令進入到dex2jar工具存放的目錄下,如圖
進入到dex2jar目錄下後,輸入「dex2jar.bat classes.dex」指令執行
執行完畢,檢視dex2jar目錄,會發現生成了classes.dex.dex2jar.jar檔案
上一步中生成的classes.dex.dex2jar.jar檔案,可以通過jd-gui工具直接開啟檢視jar檔案中的**
被混淆過的class反編譯後的效果圖(類檔名稱以及裡面的方法名稱都會以a,b,c....之類的樣式命名):
2、安裝包簽名
jarsigner -verify -verbose -certs apk包路徑
如果執行後,顯示 jar已驗證,說明簽名校驗成功
3、完整性校驗
為確保安裝包不會在測試完成到最終交付過程中因為各種問題發生檔案損壞,需要對安裝包進行完整性校驗。通常做法是檢查檔案的md5值。
4、許可權設定檢查
android:檢查manifest檔案來讀取應用所需的全部許可權;
安全性測試
1.url哪些引數可以放進去,哪些不可以放。後面的id 可以隨便改,可以查所有活動。url作處理 後端限制。編輯 時,不應帶有 id,防有人改id編輯其它人的 加密。比如每個使用者金鑰都不一樣,很難破解。2.有些操作自已去資料庫確認,而不靠control層。比如,編輯活動時活動時,活動還沒有開始,但...
軟體測試 之 移動端測試 安全性測試
軟體測試 之 移動端測試 安全性測試軟體許可權 1 扣費風險 包括傳送簡訊 撥打 連線網路等 2 隱私洩露風險 包括訪問手機資訊 訪問聯絡人資訊等 4 限制 允許使用手機功能接人網際網路 5 限制 允許使用手機傳送接受資訊功能 6 限制 允許應用程式來註冊自動啟動應用程式 7 限制或使用本地連線 8...
安全性測試方法
安全性測試方法採用訪談 檢查 測試三種基本的方法並按照提供的系統安全解決方案,結合功能測試和安全性測試工具完成,最終通過安全性測試結果對系統整體安全體系進行評估。1 訪談。主要是通過與技術開發和管理人員交流和訪談等,獲取相關安全測試的證據。2 檢查。包括文件查閱和現場核查,文件查閱通過檢查技術及管理...