Android安全測試（一）

目前APP測試領域，關注重點基本都在功能測試，自動化測試，而我工做三年了，研究點也一直處於自動化測試領域，而忽視安全測試方面的學習

偶爾看到一則新聞，說某人家裏電視機鬧鬼，只要電視通電，電視就本身換臺，自動重啓，發出哭聲之類的，售後師傅剛上門給換了一臺新的，售後師傅還沒下樓，電視機就又開始發瘋了...

懂點技術基本都能摸個差很少，就是這家人的電視被攻擊了，從售後師傅幫忙剛換了新電視，電視又發瘋

我分析應該是無線網被攻破，攻擊者電腦便與電視處於同一局域網內，以後經過技術手段進行攻擊。攻擊者能夠垂手可得的就對電視進行操做，主要是電視系統的安全性不到位，常見的電視系統安全不到位的狀況有：

》一、電視出廠前adb鏈接的開關沒有關閉

》二、進入工廠菜單操做步驟簡單，用戶能夠輕易進入工廠菜單進行各項更改

》三、用戶能夠輕易獲取到超級管理員的權限

以後我就開始安裝kali linux，學習了點滲透測試方面的知識，固然也仍是菜雞一隻。下圖就是本身的雕蟲小技，嘗試的將電視上圖片都替換成紅包，惋惜還沒成家，否則還能夠利用這個方法制造點浪漫

 

 下面就開始天天寫一點Android滲透測試的內容，固然本身也是小白，權當記錄一下

一、數字簽名檢測

打開cmd，進入到JDK的安裝路徑，C:\Program Files\Java\jdk1.8.0_111\bin，輸入命令:

jarsigner.exe -verify APK文件路徑

 

當輸出結果爲「jar已驗證」，則表示簽名正常，測試經過。

二、檢測簽名的字段是否正確標示客戶端程序的來源和發佈者身份，輸入命令：

jarsigner.exe -verify -verbose -certs APK文件路徑

若各個字段與咱們預期的一致，則測試經過

須要注意的是，只有在直接客戶簽名的證書籤名時，才認爲安全。 Debug 證書、第三方（如開發方）證書等均認爲是風險

 

下一遍，記錄APK反編譯檢測