android手機安全性測試手段

羅列一下本身經常使用的android手機安全性測試攻擊手段：

 

1. fiddler和tcpdump+wireshark抓包分析，模擬修改http請求參數，檢驗漏洞

2. 修改AndroidManifest.xml文件中debuggable屬性，打開logcat輸出，查看是否有敏感信息輸出

3. 將apk包轉換成jar包，反編譯出源碼，查看其是否混淆，或者可否經過代碼看出主要產品邏輯

4. 反編譯apk，結合反編譯出的源碼修改smali文件，輸出敏感信息，或者更改代碼邏輯

5. 對於一些jni調用so文件的apk包，能夠結合反編譯的源碼本身嘗試調用so文件方法,ida查看修改so文件邏輯

6. Root 手機進入data/data目錄下查看緩存文件，數據庫中是否保存了敏感信息

7. 對於有些app調用.net dll能夠嘗試Reflector反編譯源碼，弄清產品邏輯，同java反編譯同樣，而大多數C#代碼混淆的意識比java代碼混淆意識要弱不少

8. 對於開放平臺相關的app，能夠藉助以上手段獲取開放平臺接入的參數，結合平臺文檔，以完成攻擊操做