1.测试环境
SDK: Java JDK, Android SDK。
下图为利用中间人攻击的手段,将智能电视上所有影片的封面图替换的实际效果图
利用中间人攻击还可以进行token获取等,所以不要轻易使用未知的wifi
接下来就开始写一点Android安全测试的东西
1、数字签名检测
打开cmd,进入到JDK的安装路径,C:\Program Files\Java\jdk1.8.0_111\bin,输入命令:
jarsigner.exe -verify APK文件路径
当输出结果为“jar已验证”,则表示签名正常,测试通过。
2、检测签名的字段是否正确标示客户端程序的来源和发布者身份,输入命令:
jarsigner.exe -verify -verbose -certs APK文件路径
若各个字段与我们预期的一致,则测试通过
需要注意的是,只有在直接客户签名的证书签名时,才认为安全。 Debug 证书、第三方(如开发方)证书等均认为是风险