软件测试修炼之路 A Tester

基础的Android安全

2016-03-08
Dex

基础的Android安全

1.混淆

混淆规则、proguard工具

查看是否混淆代码:

利用反编译工具dex2jar,反编译apk文件,得到jar包,打开jar包,可以看到类、方法是否被混淆。

一定要严格的规范我们混淆的rule。

2.权限

利用aapt命令直接查询Android apk的所有使用的权限。

3.本地数据的安全

adb shell

Android系统原生应用(rom里面的应用), 路径: /system/app/xxx.apk

用户安装的应用, 路径: /data/app/com.xxx.apk

db:本地数据库文件,sqllite轻量级数据库文件。

例如, 手机QQ的db路径为: /data/data/com.tencent.mobileqq/databases

可以把db文件导入到电脑中,查看其具体数据(手机QQ的db数据已经加密!)

4.敏感词

可以利用shell、python等脚本语言,通过正则表达式(re)来进行敏感词的扫描。

在ios日志, Android日志, server日志中可以检索到敏感词, 进行字符串的处理。


上一篇 aapt命令用法

Comments