标签：测试 APP CERT allowBackup META 注册 要点 INF

APP面临的威胁

APP评估思路

APP自动化检测思路

安全测试要点

证书和签名

1. 将apk文件更名为zip
2. 使用unzip解压
3. META-INF中包含签名文件和真正的CERT.RSA文件(公钥证书自签名)
4. 使用keytool工具查看证书内容
   keytool -printcert -file META-INF/CERT.RSA
   
5. cat META-INF/CERT.SF
   

Allowbackup漏洞

AndroidManifest.xml文件中allowBackup属性值被设置为true。当allowBackup标志为true时，用户可通过adb backup来进行对应用数据的备份，在无root的情况下可以导出应用中存储的所有数据，造成用户数据的严重泄露。

整改建议
将参数android:allowBackup属性设置为false，不能对应用数据备份。

WebView漏洞

应用中存在WebView漏洞，没有对注册Java类的方法调用进行限制，导致攻击者可以利用反射机制调用未注册的其他任何JAVA类，最终导致JavaScript代码对设备进行任意攻击。

整改建议
通过在Java的远程方法上面声明一个@JavascriptInterface 来代替addjavascriptInterface；
在使用js2java的bridge时候，需要对每个传入的参数进行验证，屏蔽攻击代码；
Note ：控制相关权限或者尽可能不要使用js2java 的bridge 。

关键数据明文传输

应用程序在登录过程中，使用http协议明文传输用户名和密码，并未对用户名和密码进行加密处理。通过监控网络数据就可以截获到用户名和用户密码数据，导致用户信息泄露，给用户带来安全风险。

整改建议
在传输敏感信息时应对敏感信息进行加密处理。

任意账号注册

1. 使用手机号133*887注册某个APP，获取验证码46908；
2. 在确认提交时，拦截请求，修改注册的手机号码，即可注册任意账号，这里修改为1338*678（任意手机号）；
   

整改建议
注册过程最后的确认提交时，服务器应验证提交的账号是否是下发验证码的手机号。

标签：测试,APP,CERT,allowBackup,META,注册,要点,INF
来源： https://www.cnblogs.com/yoyoyang/p/11815592.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。