版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
京东安全应急响应中 借助相关工具进行针对性的测试,就是app手工安全检测。隐患、风险点距离实际的漏洞利用还有一定距离,即使是用借助语法分析的引擎去做自动化审计,也是需要手工确认,这是无法替代的。由此可见app手工安全检测的重要性。本期我们来聊一聊app手工安全检测。/01在我看来,借助相关工具进行针对性的测试,就是app手工安全测试。具体场景包括/02起到辅助作用,所以要借助手工安全检测去查看源代码上下文才好确定安全问题。有很多第平台都提供自动化的审计,但真正要确定这些或者风险的话,还得手是的,自动化审计一般是提供的隐患、风险点等,无法做类似web的自动化验证。隐患、风险点距离实际的利用还有一定距离,即使是用借助语法分析的引擎去做自动化审计,也是需要手工确认,这是无法替代的。/03ios的话无法做到反编译,因此一般会借助反汇编的工具,比如在 apk安全检测的时候我一般是这个思路:先看一下是不是加壳的,如果话,会借助idb、classdump等辅助工具,方便利用应用的逻辑进行分析。android的是先进行反编译,apktool、dex2jar和jd-gui的组合。一般来说,ios下还会借助动态分析,然后用静态分析的方式去过一下那些问题点。动态分析会做系统行为hook,对加、http请求、文件系统、ios剪切板、日志记录、keychain进行分析。此外还有UIWebView的,因为ios里面也会用到内嵌网页ios的话无法做到反编译,因此一般会借助反汇编的工具,比如在 apk安全检测的时候我一般是这个思路:先看一下是不是加壳的,如果的话会对apk进行脱壳,然后通过反汇编、反编译工具得到汇编代码或反编译代码,然后根据特征定位代码位置,然后结合上下文分析,有时候可能要动态调试。在androidapk里面有很多小技巧,antiysis的技术要积累一些的。
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 二零二五版生物质发电监理服务合同三方协议3篇
- 二零二五版企业安全风险评估与安保服务合同3篇
- 二零二五年度高品质钢结构装配式建筑安装服务合同3篇
- 二零二五版电影投资融资代理合同样本3篇
- 二零二五版初级农产品电商平台入驻合同2篇
- 二零二五年度电商平台安全实验报告安全防护方案合同3篇
- 二零二五年度白酒销售区域保护与竞业禁止合同3篇
- 二零二五版建筑工程专用防水材料招投标合同范本3篇
- 二零二五年研发合作与成果共享合同2篇
- 二零二五版钢结构工程节能合同范本下载3篇
- 2024年四川省德阳市中考道德与法治试卷(含答案逐题解析)
- 施工现场水电费协议
- SH/T 3046-2024 石油化工立式圆筒形钢制焊接储罐设计规范(正式版)
- 六年级数学质量分析及改进措施
- 一年级下册数学口算题卡打印
- 真人cs基于信号发射的激光武器设计
- 【阅读提升】部编版语文五年级下册第三单元阅读要素解析 类文阅读课外阅读过关(含答案)
- 四年级上册递等式计算练习200题及答案
- 法院后勤部门述职报告
- 2024年国信证券招聘笔试参考题库附带答案详解
- 道医馆可行性报告
评论
0/150
提交评论