安卓APP安全测试基础

学习牛人经验，结合自己的测试，做简单总结：

简介：
安卓APP安全测试目前主要覆盖以下方面：
1）自身组件安全
2）本地敏感数据保护
3）web接口安全

一、自身组件安全
目前手动、开源或免费工具均能检测此类漏洞。
开源工具推荐：drozer
免费工具推荐：360捉虫猎手、爱加密、阿里聚安全

当然扫描结果和漏洞扫描结果一样，存在误报，需要测试者自己排除。
以图中360捉虫猎手为例，“Service组件暴露”误报：

但实际上在AndroidManifest.xml中，已经声明了相关的权限：

<uses-permission android:name="android.permission.INTERNET" />
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE" />
<uses-permission android:name="android.permission.READ_PHONE_STATE" />
<uses-permission android:name="android.permission.GET_TASKS" />
<uses-permission android:name="android.permission.VIBRATE"/>
<permission android:name="com.xiaomi.mipushdemo.permission.MIPUSH_RECEIVE" android:protectionLevel="signature" />
<!--这里com.xiaomi.mipushdemo改成app的包名-->   
<uses-permission android:name="com.xiaomi.mipushdemo.permission.MIPUSH_RECEIVE" />
<!--这里com.xiaomi.mipushdemo改成app的包名-->

二、本地敏感数据保护
敏感数据集中在登录认证信息和重要的业务数据
如果本地不存储敏感数据，而是依赖web从服务端获取，则此部分测试可以跳过。
如果本地存储敏感数据，则测试过程主要分为：寻找存储位置和解密数据

测试流程：

一方面
1、在模拟器或者开发机上安装相关app
2、通过root explorer 等工具分析安装目录（/data/data/包名）和数据存储目录（/Android/data/包名），寻找可能的敏感数据文件
3、使用sqlitebrowser等工具尝试打开敏感数据文件

另一方面
1、反编译app，分析源代码
2、分析数据存储过程，获取数据存储路径和可能的密码信息
3、使用sqlitebrowser等工具尝试打开敏感数据文件

另外，还可以注意寻找可能存在的日志文件，其中可能也有潜在的敏感数据。尤其是在上一个流程中被发现：logcat可能泄露程序隐私信息和敏感信息 的情况。

三、web接口安全
此部分与web应用安全测试一致。复杂程度高度依赖app的业务功能。
常见的安全漏洞和web应用安全漏洞一致。
另外，需要重点关注逻辑漏洞：登录安全策略与主站不一致、权限提升（越权访问或操作）等。

测试流程：

1、在模拟器或者开发机上安装相关app
2、通过burpsuite等代理工具获取web访问路径
3、对web访问路径进行漏洞扫描
4、对web访问路径进行手动测试