零基础网站建设教程,如何打开网站网页,站长之家工具,售后软件网站开发文章目录前言一、安全威胁分析二、主要风险项三、Android测试思维导图四、反编译工具五、Android客户端漏洞一、Jnaus漏洞漏洞二、数据备份配置风险漏洞漏洞三、Activity组件泄露漏洞漏洞四、BroadcastReceiver组件泄露漏洞漏洞五、允许模拟器Root环境登录漏洞漏洞六、未识别代…
文章目录前言一、安全威胁分析二、主要风险项三、Android测试思维导图四、反编译工具五、Android客户端漏洞一、Jnaus漏洞漏洞二、数据备份配置风险漏洞漏洞三、Activity组件泄露漏洞漏洞四、BroadcastReceiver组件泄露漏洞漏洞五、允许模拟器Root环境登录漏洞漏洞六、未识别代理环境漏洞漏洞七、未使用随机布局键盘漏洞漏洞八、键盘密码截屏漏洞漏洞九、数字签名检测漏洞十、反编译保护前言
本篇文章针对Android APP渗透测试相关技术实施以及工具的使用文中难免会出现其他问题麻烦各位的大佬及时指出共同学习再此感谢 一、安全威胁分析
安全威胁从三个不同环节进行划分主要分为客户端威胁 、数据传输端威胁和服务端的威胁。
二、主要风险项 三、Android测试思维导图 四、反编译工具
有两种反编译方式dex2jar 和apktool两个工具反编译的效果是不一样的dex2jar反编译出java源代码apktool反编译出来的是java汇编代码。dex2jar主要是用来把之前zip解压出来的classed.dex转成jar包的jd-gui主要是用来打开Jar包的。
五、Android客户端
漏洞一、Jnaus漏洞
测试目标APP应用包
格式*.apk
测试工具下载https://github.com/bihe0832/Android-GetAPKInfo
测试步骤
使用工具包内GetAPKInfo.jar 命令java -jar GetAPKInfo.jar *.apk 漏洞危害
攻击者可利用Janus漏洞将一个恶意的DEX文件与原始APK文件进行拼接从而不影响APK文件的签名。替代原有正常的App做下载、更新用户端安装了恶意仿冒的App后不仅会泄露个人账号、密码、照片、文件等隐私信息手机更可能被植入木马病毒进而或导致手机被ROOT甚至被远程操控。
安全建议
1、将APP的APK升级到最新的Signature scheme V2签名机制 2、开发者及时校验App APK文件的开始字节以确保App未被篡改。
漏洞二、数据备份配置风险漏洞
测试目标APP应用包
格式*.apk
测试工具下载https://github.com/MobSF/Mobile-Security-Framework-MobSF
测试步骤
本地安装该工具(安装步骤忽略)KALI中启动该工具并访问http://X.X.X.X:8000 打开网址上传APK安装包查看Android配置文件(AndroidMainifest.xml) 或直接将APK安装包后缀改为.zip然后使用工具AMLPrinter2.jar输出.txt。
命令java -jar AXMLPrinter2.jar AndroidManifest.xml AndroidManifest.txt
使用NotePad 打开即可看到配置文件信息 漏洞危害
第三方应用开发者需要在APP的AndroidManifest.xml文件中配置 allowBackup 标志(默认为 true )来设置应用数据是否能能够被备份或恢复。当这个标志被设置为 true 时应用程序数据可以在手机未获取 ROOT 的情况下通过adb调试工具来备份和恢复。在接触用户手机的情况下攻击者可以在启动手机USB调试功能来窃取那些能够受到AllowBackup漏洞影响的APP数据造成用户敏感信息泄露甚至财产损失。
安全建议
将AndroidManifest.xml文件中Application节点的android:allowBackup属性设置为 false 或是 删除该属性。
漏洞三、Activity组件泄露漏洞
测试目标APP应用包
格式*.apk
测试工具下载https://github.com/MobSF/Mobile-Security-Framework-MobSF AMLPrinter2.jar
测试步骤
通过AndroidManifest.xml文件查找关键字符串
com.******.******.icbcPay.PayResultHandler
com.******.******.wxapi.WXPayEntryActivity
com.******.******.alipay.AliPayEntryActivity
com.******.******.PushMessagesActivity
com.******.******.wxapi.WXEntryActivity
com.******.payment.thirdpay.channel.wx.WXEntryActivity
com.******.******.wxapi.WXPayEntryActivity
com.******.payment.thirdpay.channel.qq.QQPayEntryActivity漏洞危害
导出的Activity组件能被第三方APP任意调用攻击者可构造恶意payload进行攻击导致敏感信息泄露并可能受到绕过认证、恶意代码注入等攻击风险。
安全建议
1、如果Activity组件不需要与其它系统共享数据或交互应在AndroidManifest.xml 配置文件中将该Activity组件的android:exported 属性值设置为false。如果Activity组件需要与其它APP共享数据或交互应对Activity组件进行权限控制和参数校验。 2、在界面切换时检测下一界面的Activity类如不是被测系统内的界面则提示并退出。
漏洞四、BroadcastReceiver组件泄露漏洞
测试目标APP应用包
格式*.apk
测试工具下载https://github.com/MobSF/Mobile-Security-Framework-MobSF AMLPrinter2.jar
测试步骤
漏洞成因com.gotop.yjdtzt.MyBroadCastReceiver没有被保护 漏洞危害
导出的Broadcast Receiver组件能被第三方APP任意调用攻击者可构造恶意payload进行攻击攻击者可构造恶意payload进行攻击造成用户敏感信息泄露、拒绝服务攻击等风险。
安全建议
如果组件不需要与其它系统共享数据或交互应在AndroidManifest.xml配置文件中将该receiver的android:exported属性值设置为false。如果该receiver需要与其它APP共享数据或交互应对receiver进行权限控制和参数校验。
漏洞五、允许模拟器Root环境登录漏洞
tips该测试环境需要使用模拟器可支持Root模式模块的
测试目标APP应用包
格式*.apk
测试工具逍遥模拟器
测试步骤
打开工具配置将模式改为Root模式运行点击启动应用 可以看出启动应用并未提示有关警告类消息存在问题。
漏洞危害允许root设备/模拟器登录会存在不安全的风险。
安全建议检测到root或模拟器设备提醒当前环境存在风险。
漏洞六、未识别代理环境漏洞
测试目标APP应用包
格式*.apk
测试工具逍遥模拟器
漏洞成因当设置网络代理后APP未检测到代理攻击者会通过客户端所操作产生的数据流量进行劫持获取敏感信息。
测试步骤测试机中设置代理并启动APP应用 启动应用过程中并未显示警示类消息该行为存在问题。
漏洞危害APP未检测网络代理时不安全的网络代理会劫持通讯数据存在中间人劫持的风险。
安全建议检测当前网络环境当设置代理时提醒用户。
漏洞七、未使用随机布局键盘漏洞
测试目标APP应用包
格式*.apk
测试工具逍遥模拟器
测试步骤打开应用点击输入账号密码可从底部弹出输入法 漏洞危害测试客户端程序在登录密码等输入框未设置随机软键盘容易被木马根据点位获取登录密码。
安全建议自定义随机布局键盘。
漏洞八、键盘密码截屏漏洞
测试目标APP应用包
格式*.apk
测试工具逍遥模拟器
测试步骤打开应用在输入账号密码时进行屏幕截图。 输入密码时可通过按键回应截屏得到密码等信息。
漏洞危害通过连续截图可以捕捉到用户密码输入框的密码。
安全建议建议以震动方式代替回显效果给用户反馈输入信息。
漏洞九、数字签名检测
测试目标APP应用包
格式*.apk
测试工具jarsigner.exe
测试命令jarsigner.exe -verify -verbose -certs *.apk
当输出的结果为jar已验证时表示签名正常 检测签名的 CN 及其他字段是否正确标识客户端程序的来源和发布者身份 只有在使用直接客户的证书签名时才认为安全。 Debug 证书、第三方如开发方证书等等均认为风险。
漏洞十、反编译保护
问题描述APP源代码对于一个公司是非常重要的信息资源对APP的保护也尤为重要APP的反编译会造成源代码被恶意者读取以及APP的逻辑设计。
反编译方法我们一般想要反编译一个APK无非就是要想获得三样东西图片资源、XML资源、代码资源
图片资源获取首先准备一个APK(.apk文件)我们将其后缀改为.zip打开zip文件在res目录下我们就可以获取到我们需要的图片了。
XML资源获取: 想要获取.xml文件在我们打开zip压缩包里面可以看到存在一个.xml的文件但是呢直接打开的话会显示乱码或者空白那我们该如何获取这个XML资源呢这时就需要借助一个工具AXMLPrinter2.jar,将这个工具放在与XML同一目录下使用cmd命令执行java -jar AXMLPrinter2.jar xxxxx.xmlxxxxx.txt这个时候你就能获取到xml里的东西啦。
代码资源获取这个就比较重要了但这里存在一个点这里能够正确反编译出来的只有未加密或者没有混淆的代码如果想要反编译一些加密或者混淆后代码我们就需要其他途径解决了。首先需要准备两样东西dex2jar.rar和jd-gui.zip这两个工具。dex2jar主要是用来把之前zip解压出来的classed.dex转成jar包的jd-gui主要是用来打开jar包的。
Apktool用法使用命令 java -jar apktool.jar d -f *.apk -o 文件夹名。 dex2jar用法把dex2jar解压后然后将之前的zip的classes.dex放到dex2jar目录下这里必须要与dex2jar.bat是同级目录。然后又要用到cmd。Cd到dex2jar目录下打命令行 dex2jar.bat classes.dex,然后你的目录里会多一个jar包多了一个classes-dex2jar.jar文件再用jd-gui把jar打开最终apk的代码就被剥离出来了。
检测方法通过反编译工具看是否能够对APP进行反编译。
工具下载 https://bitbucket.org/iBotPeaches/apktool/downloads/ - apktool (资源文件获取) https://github.com/pxb1988/dex2jar/releases - dex2jar (源码文件获取) http://java-decompiler.github.io/ - jd-gui (源码查看)
工具介绍 Apktool 作用资源文件获取可以提取出图片文件和布局文件进行使用查看。 dex2jar 作用将apk反编译成java源码(classes.dex 转化成jar文件)。 Jd-gui 作用查看APK中classes.dex转化为jar文件即源码文件。 使用jd-dui将jar包打开 可以看到上图中被混淆过的class反编译后的效果图类文件名称以及里面的方法名称都会以a,b,c….之类的样式命名较为安全不会被轻易获取源码数据。 修复方法采用加密和混淆技术达到反编译保护。混淆技术作用是增加了用户反编译后阅读代码的难度。
未完待续
