AZ0NE

关于我

网络安全爱好者

娜迦信息公司的一份报告

报告中详细介绍了主要的安全问题,以及测试的例子,文中采用的自动测试方法是用python做静态与动态结和自动分析,静态分析的过程如下:

•apk->dex->jar->class->java->正则匹配

•apk->smali->正则匹配

反编译出Java代码进行扫描,包括:

–静态Url提取

–Webview远程代码执行

–DebugMode是否开启

–配置文件中是否有AllowBackup

–四大组件对外暴露

–是否包含Log.i等信息泄露

–是否信任所有证书(ALLOW_ALL_HOSTNAME_VERIFIER)

–发现pm install进行提醒

–umeng、支付宝、百度等key信息硬编码提醒


动态分析原理:

本地用Python脚本做代理服务器,抓到的数据包完整入库(http方法、Cookie、UA、POST值等),另外的Python扫描器从库中读取数据包进行漏洞Fuzz。


想找娜迦信息公司的python代码来研究,没有找到,于是找到国外一个类似功能的代码。

https://github.com/thypon/AndroidFuzz


评论
© AZ0NE | Powered by LOFTER