[车联网安全自学篇] Android安全之常规移动安全测试指南

已于 2023-02-02 15:33:09 修改
阅读量459 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: # Android安全J # Android安全T 文章标签: 网络安全 信息安全 渗透测试
于 2023-02-02 15:32:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Ananas_Orangey/article/details/128851384
本文是车联网安全自学篇的一部分,主要探讨移动应用的安全测试,特别是针对Android原生应用和Web应用。文章介绍了Native应用程序的特性和开发语言,强调其性能和可靠性优势,以及跨平台开发的挑战。同时,提到了Web应用程序的限制和混合型应用程序的特性,以及渐进式Web应用程序(PWA)的功能和限制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大

少走了弯路,也就错过了风景,无论如何,感谢经历

0x01 前言

术语 “移动应用” 是指一种独立的计算机程序,被设计用于执行在移动设备上。如今,Android和iOS操作系统累计占到了移动操作系统市场份额的99%以上。另外,移动互联网的使用在历史上首次超过了传统桌面系统的使用,使移动浏览和移动应用程序成为最广泛传播的一种具有互联网功能的应用程序

在常规移动安全测试指南中,我们将使用 “应用程序” 这一术语作为泛指在流行的移动操作系统上运行的任何类型的应用程序

从基本意义上讲,应用程序被设计为直接在其设计的平台上运行,或在智能设备的移动浏览器上运行,或两者皆有。在后续文章中,我们将定义应用程序在移动应用程序分类中各自的特点,并讨论每种变化的差异

0x02 Native应用程序

移动操作系统,包括Android和iOS,都有一个软件开发工具包(SDK),用于开发仅运于该操作系统的应用程序。这类应用程

了解本专栏 订阅专栏 解锁全文
[车联网安全自学] Android安全移动安全测试指南移动安全测试基本原理」
橙留香Park的博客
02-02 595
[车联网安全自学] Android安全移动安全测试指南移动安全测试基本原理」;在接下来的部分中,我们将简要介绍常规安全测试原则和关键术语。所介绍的概念与其他类型的渗透测试中的概念基本相同,所以如果你是经验丰富的渗透测试人员,你可能会熟悉其中的一些内容移动APP安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁在整个指南中,我们将 “移动应用安全测试” 作为一个综合名词,指的是通过静态分析和动态分析对移动应用安全进行评估。例如:“移动应用渗透测试” 和 “移动应用安全分析
[车联网安全自学] Car Hacking之CAN总线初探
橙留香Park的博客
10-24 1539
[车联网安全自学] Car Hacking之CAN总线初探;在汽车制造商不断完善和推进车辆系统的同时,对底层网络的需求进一步增加。为了打造智能汽车,越来越多的零部件在一辆汽车中相互连接。这导致基于标准化技术构建的专用且通常是专有的汽车协议。这些协议中的大多数都基于总线协议:这种总线网络中的所有网络节点都使用单个共享数据链路连接。该技术为多个安全和舒适系统之间的实时通信提供了一种可行的方式。但是,通常没有或没有足够的身份验证和加密或其他安全机制可以在当今的汽车系统中找到
android手机安全性测试手段
weixin_30530523的博客
04-25 273
罗列一下自己常用的android手机安全性测试攻击手段: 1. fiddler和tcpdump+wireshark抓包分析,模拟修改http请求参数,检验漏洞 2. 修改AndroidManifest.xml文件中debuggable属性,打开logcat输出,查看是否有敏感信息输出 3. 将apk包转换成jar包,反编译出源码,查看其是否混淆,或者能否通过代码看出主要产品逻辑 4....
[车联网安全自学] Android安全移动安全测试指南移动应用程序篡改和逆向工程」
橙留香Park的博客
02-02 730
[车联网安全自学] Android安全移动安全测试指南移动应用程序篡改和逆向工程」;逆向和篡改技术长期以来一直属于爱好破解人员、修改软件者、恶意软件分析师等领域的爱好者最喜欢的技术。对于“传统”安全渗透测试工程师和安全研究员来说,逆向工程更多地是一种互补技能。但趋势正在开始转变:移动APP应用程序的黑盒渗透测试越来越需要专门从事移动安全的工程师掌握反编译已编译的APK应用程序的能力、应用程序打补丁以及篡改二进制代码甚至实时进程的各类综合能力技术。可是实际上大多数移动应用程序都会做对应的安全加固
[车联网安全自学] Android安全Android中常用权限手册「必备」
橙留香Park的博客
12-22 2379
Android在开发过程中会申请一些权限,比如定位、网络等关系到用户隐私数据的都需要在AndroidManifest.xml中声明,而且现在移动设备生产商都添加了应用在使用这些隐私功能的时候给用户一个提示,让用户去决定是否允许本次操作。Android 6.0新增了这个功能,叫做运行时权限许多Android用户有不同的能力,要求它们以不同的方式与他们的Android设备进行交互。这包括用户视觉、物理或年龄限制,防止他们完全看到或使用触摸屏,和用户与听力损失可能无法感知声音和警报信息。
[车联网安全自学] Android安全移动安全测试指南概述
橙留香Park的博客
02-02 870
[车联网安全自学] Android安全移动安全测试指南概述;随着运营商新技术新业务的发展,运营商集团层面对安全的要求有所变化,渗透测试工作将会面临内容安全、计费安全、客户信息安全、业务逻辑及APP(由于现今的网络技术日益发达,Android APP 的安全也有很多隐患,这些都需要我们不断地去注意,从而提高其安全性)等方面的挑战。随着运营商自主开发的移动APP越来越多,这些APP可能并不会通过应用市场审核及发布,其中的安全性将面临越来越多的挑战移动应用程序安全测试包括针对多种攻击和威胁媒介评估应用程序
[车联网安全自学] ATTACK安全之Frida反调试检测
橙留香Park的博客
11-25 1423
[车联网安全自学] ATTACK安全之Frida反调试检测;在开始正式讲反调试之前,我们先来了解一些基础知识逆向和篡改技术长期以来一直属于爱好破解人员、修改软件者、恶意软件分析师等领域的爱好者最喜欢的技术。对于“传统”安全渗透测试工程师和安全研究员来说,逆向工程更多地是一种互补技能。但趋势正在开始转变:移动APP应用程序的黑盒渗透测试越来越需要专门从事移动安全的工程师掌握反编译已编译的APK应用程序的能力、应用程序
[车联网安全自学] 汽车威胁狩猎之关于威胁狩猎该如何入门?你必须知道的那些事「7万字详解」
橙留香Park的博客
03-13 979
[车联网安全自学] 汽车威胁狩猎之关于威胁狩猎该如何入门?你必须知道的那些事「7万字详解」;尽管威胁检测和事件响应技术在不断发展,但攻击及其战术也在不断发展。如今,犯罪分子不是一发现漏洞就直接部署恶意软件或进行破坏性攻击,而是慢慢来(例如他们侦察网络,收集机密数据),并寻找能让他们获得更多信息的凭据资源令人震惊的是,即使是配备了先进防御系统的企业,有时也无法检测到隐蔽的入侵者,从而使攻击者在被发现之前就已经在公司网络中潜伏了数周甚至数月随着越来越多的攻击和0day (零日) 漏洞案例
[车联网安全自学] Android安全移动安全测试指南安全测试和SDLC」
橙留香Park的博客
02-02 3267
[车联网安全自学] Android安全移动安全测试指南安全测试和SDLC」;对应用程序及其组件进行风险评估,以确定其风险状况。这些风险状况通常取决于组织的风险偏好和监管要求。风险评估还基于各种因素,包括应用程序是否可以通过互联网访问,以及被应用程序处理和存储的数据类型。所有类型的风险都必须被考虑到:金融、市场、行业等。数据分类策略规定了哪些数据是敏感的,以及如何保护这些数据安全要求是在项目或开发周期开始时确定的,即应用功能需求被收集时。滥用案例,随着用例的创建而被添加。如果团队(包括开发团队)需要
[车联网安全自学] Car Hacking之关于IoT安全该如何入门?你必须知道的那些事「3万字详解」
橙留香Park的博客
05-06 6916
[车联网安全自学] Car Hacking之关于IoT安全该如何入门?你必须知道的;物联网,也称为物联网(IoT),代表可以连接到互联网或内部网络的设备和外围设备的集合。这些设备有多种形状和尺寸。您现在的家庭或工作网络中可能有一些,您的网络打印机甚至您的家庭 WiFi 路由器都可以被视为物联网设备,因为它们是连接到内部网络或公共互联网以提供附加功能的非传统计算设备IoT 这个词意味着物联网,如果我把它分成更简单的格式,那么互联网+设备=物联网,网是现有互联网基础设施内唯一可识别的嵌入式计算设备的互连...
Android App安全测试基础与进阶
01-10
1、综合整理了关于Android App安全测试的各种知识; 2、详细描述了常见/常被利用的漏洞; 3、从9大方面细分3个层次(检测介绍、具体测试方法、修复建议)来描述详细的实操方法;希望能对大家有所帮助。
[车联网安全自学] Android安全之混淆机制、签名保护的案例浅析
橙留香Park的博客
12-22 917
随着Android 市场的扩大,各类盗版、破解、打包党纷纷涌现,其使用的手法无非是apk _> smali ->修改代码 ->重打包签名,为对抗此类技术,广大程序员挖掘了Android平台特有的保护技术:签名校验Android系统在安装Apk的过程中,会对Apk进行签名校验,校验通过后才能安装成功。那你知道签名校验的机制是什么?要知道签名是什么,先来看为什么需要签名。大家都知道,在消息通信时,必须至少解决两个问题:一是确保消息来源的真实性,二是确保消息不会被第三方篡改。
[车联网安全自学] Android安全之Content Provider攻防
橙留香Park的博客
04-08 5574
"Content Provider 攻防"按照Google为Android设计的安全模型,应用的数据属于私有数据,故默认情况下,应用无法访问其他应用的私有数据。但当应用需要与其他应用共享数据时,Content Provider就扮演着应用间数据共享桥梁的角色。
[车联网安全自学] Android安全之APK应用程序分析「附带Smali基础语法解析」
橙留香Park的博客
09-13 504
Smali是Davlik的寄存器语言,语法上和汇编语言类似. Davlik是基于寄存器的,就是说smali里的所有操作都必须经过寄存器来进行.函数的定义一般为:函数名(参数类型1参数类型2…)返回值类型基本数据类型的参数与参数之间没有任何分隔符(,)对象数据类型使用分号(;)结束test()Vtest(lll)ZPS:注意: 参数之间没有任何分隔符,返回值在最后Smali数据定义指令指令描述将数值符号扩展为32后赋值给寄存器vA将数值符号扩展为64位后赋值个寄存器对vAA。
[车联网安全自学] Android安全之APK逆向入门介绍
橙留香Park的博客
09-13 1万+
[车联网安全自学] Android安全之APK逆向入门介绍;2021年注定是一个不平凡的一年,这一年每个人都需要付出更多的努力,一定要脚踏实地,默默努力奋斗。
安全术语扫盲
热门推荐
_南寻_的博客
02-09 1万+
行业术语扫盲 肉鸡 所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以像操作自己的电脑那样来操作它们,而不被对方发觉。 木马 木马就是表面上伪装成了正常的程序,但是当这些程序运行时,就会获取系统的整个控制权限。有很多黑客就是热衷于使用木马程序来控制别人的电脑,比如灰鸽子,黑洞,PcShare等等 远控 远程控制,是在网络上由一台电脑(主控端Remote/客户端)远距
[车联网安全自学] Android安全之签名机制
橙留香Park的博客
01-01 3319
众所周知,Android系统在安装Apk的过程中,会对Apk进行签名校验,校验通过后才能安装成功。APK签名是为了保证APK的完整性和来源的真实性,分为JAR签名和V2签名两种方案。核心思想均是计算APK内容的hash,再使用签名算法对hash进行签名。校验时通过签名者公钥解密签名,再与校验者计算的APK内容hash进行比对,一致则校验通过。在开始之前我们先了解一下APK的基本结构。
Android安全测试
Meng
12-28 4098
目录 1、客户端APP安全 2、服务端安全 3、通信安全(通信保密性) 1、客户端APP安全 (1)反编译-APP加密或者代码混淆或者加壳处理 (2)防二次打包-验证APP签名-获取二次打包后APP的签名与正确的AP签名进行对比 (3)组件导出 Ativity组件-检测组件是否可以被外部应用调用 Service组件-检测组件是否可以被外部应用调用 content provider组件-检测组件是否可以被外部应用调用 Broadcast receiver组件-检测组件是否可以被外部应用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

橙留香Park

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值