引言:
最近面试的时候,老被问到会做移动端测试嘛,尴尬的我只会做移动端的web,所以决定好好的整理一下对于移动端的评估。
后面看了一下移动端的安全评估,主要是下面的6个大项。先上导图吧。
评估方向:
-
客户端程序- 针对客户端唯一性以及保护措施进行评估. -
系统组件- 侧重由于android系统组件使用不当产生的风险. -
运行环境- 评估设备风险以及进程运行时风险. -
本地敏感信息- 分析客户端本地存放的数据是否有安全隐患. -
网络数据通信- 重点关注数据传输是否安全. -
安全策略- 着重评估登录过程和密码安全相关策略.
使用工具:
-
Inject- 进程注入工具 -
HijackActivity- Activity劫持工具 -
Jeb- 静态逆向分析工具 -
apktool- apk反编译和打包工具 -
tcpdump- tcp数据抓包工具 -
xposed- android hook框架 -
JustTrustMe- xposed框架下信任所有证书的插件实现 -
burpsuite- 基于代理实现的抓包和分析工具