2022App安全检测指南

V-1.0APP安全检测指南APP安全检测指南-PANDAAPP安全检测指南-PANDAPAGEPAGE14【0x01】前言（APP【0x02】测试环境SDKJavaJDK，AndroidSDK工具7zip，dex2jar，jd-gui，apktool，activity劫持测试工具等（部分工具见附录下载）【0x03】客户端程序安全安装包签名描述 AndroidAK恰当签名（测试步骤 JDKjarsigner.exe jarsigne.exe-verfyAPK-verboe-certsAPP如上图，说明测试结果为安全。如开发方）威胁等级安装包签名的威胁等级判断一般如下：安全建议 反编译保护描述sojava科普smaliAndroid（*.classJAVAAPK（表现为测试步骤apkzip（dex使用dex2jar执行如下命令： dex2jar.batclasses.dex得到classes.dex.jar然后使用jd-gui打开jar文件，即可得到JAVA代码。【注：直接使用smali2java打开apk文件，也可反编译回Java代码。】apktool如上图，逆向后发现是没混淆的情况，是不安全的。下图为混淆后的代码样例，除了覆写和接口以外的字段都是无意义的名称：威胁等级若客户端进行加壳保护，此时认为无风险。若大部分代码（包括核心代码）经过混淆，此时低风险。若部分代码混淆，关键代码（加密或通信等）可以获知其关键代码，此时中风险。安全建议JNIsoso应用完整性校检描述测试步骤用ApkTool将目标APK文件解包，命令如下；java-jarapktool.ard-fapk-oloo容易确认结果）；ApkTooljava-jarapktool.arb-f-o输出apk路径用SignApk，对未签名的APK文件进行签名，命令如下：java-jarsignapk.artestkeyx509.emtestke.pk8待签名pk签名后输出apk将签了名的APK安装、运行、确认是否存在自校验；APK和修改后的【注：APKDebug将客户端程序文件反编译，修改源码或资源文件后重新打包安装运行，结果如下图：经测试，APP可以被重新打包运行。上图为没有进行自校验的情况，下图为经过自校检的情况，，修改后无法正常启动。威胁等级MANIFEST.MFJNIMANIFEST.MF中的数据作为验证凭证（若在本地进行验证的基础上只通过MANIFEST.MF对客户端原有文件进行校验而忽略新增文件的检验，此时中风险；若未进行应用完整性校验此时高风险。安全建议用MANIFEST.MF组件安全描述 ProviderAPK科普什么是组件？ APP组件有什么用？ Activity： Service： ContentProviderAPP BroadcastReceiver什么是权限声明？ 权限声明有什么用？ APP 什么是组件导出？ 组件导出有什么用？ APPAPP组件导出有什么危害？ 组件调用B用于B 如果BAB测试步骤方案一： ApkTool显式声明了导；2. 显示声明了则可出3. 未显示声明ContentProvider：若组件包含b)ContentProvider：i.若SDK版本<17则可导出，反之不可。Provider方案二：AndroidManifest.xmlexportedtrueexportedtrueandroid:protectionLevelsignatureapkGuidesexported（exportedtrue）可利用威胁等级若不存在组件暴露的情况，此时无风险。此时低风险；（APK，安全建议避免不必要的组件导出。【0x04】敏感信息安全数据文件描述检测客户端是否保存明文敏感信息，能否防止用户敏感信息的非授权访问。测试步骤首先查看相关文件的权限配置。正常的文件权最三应空类“rw-rw 即应自以无（子目录是应用安装时由androidMODE_WORLD_READABLEMODE_WORLD_WRITEABLE配置文件，（.dbwebViewdatabaseswebview.dbcookies使用数据库查看工具即可查看这些文件中是否有敏感信息。apkapk威胁等级 （或Cookie安全建议此外，正常的件限后位为（似录允执行位（类似“rwxrwx—x”）。Logcat描述 测试步骤MemSpcetorDUMPSD（卡，然后用adb或moitor在这里使用ADB进行查看。 adb adbdevices //adb-s设备名称其它命令 //当连了个设时选操的标设备否会错如下图： adbpull手机目录名PC目录名//从安卓设备中复制文件到电脑中然后使用WinHex打开这是查看内存遗留的信息，还可以直接使用adb查询logcat日志：在adbshell中，下命令用logcat //持续出志，到Ctr+Clogcat-d //logcat-c //1.txt：并未发现有敏感的信息。威胁等级根据敏感信息泄露的程度进行威胁等级评分。若相关信息中存在存储了用户登陆密码（或Cookie安全建议 【0x05】密码安全键盘劫持描述测试步骤威胁等级能够劫持键盘风险为高，不能则为无风险。安全建议尽量使用系统自定义的随机软键盘（而非系统输入法）来输入敏感信息。或者对Native层输入记录功能进行Hook（需要root权限）。随机布局软键盘描述测试客户端实现的软键盘，是否满足键位随机布放要求。测试步骤 人工观测……威胁等级安全建议 屏幕录像描述得用户输入。测试步骤使用ADB进行测试：adbshell/system/bin/screencap-p输出png路径（安卓设备中） 如图： 在/mnt/sdcard/打开： 成功截图。还有一种验证方式是从代码方面进行验证：（androidSDKFLAG_SECURE目前FLAG_SECURE测试结果：N－PASS，可截图，ZTE880E,可截图ASUSTF300T，可阻止工具及ddms截图。威胁等级（安全建议（）手势密码描述 测试步骤手势密码的复杂度：APKjarjd-gui（手势密码的修改和取消：APKjarjd-gui手势密码的本地信息保存：寻找/data/data（gesture，key）12832161（16040）jar包中搜索对应的关键字以迅速对应代码。MD5SHA-1等\h手势密码的锁定策略：1客户未处于登录状态时是否关闭客户端并进行一定时间的输入锁定。APKjarjd-gui手势密码的抗攻击测试：1.XposedSwipeBack3.SwipeBack威胁等级手势密码的复杂度：（修改和取消： 风险。本地信息保存： （锁定策略： 抗攻击测试：若客户端采用附着的方式将手势密码放置于登陆后的界面上时，如果无法抵抗SwipeBack插件的滑动攻击则高风险，如果可以抵抗则无风险。安全建议 【0x06】安全策略 密码复杂度检测描述 测试步骤 等，查java威胁等级 低危安全建议 8）账号登陆限制描述 测试步骤 人工测试。威胁等级 低危安全建议禁止同一个账号可以同时在多台移动终端设备上登陆。账户锁定策略描述 测试步骤 人工测试。威胁等级 低危安全建议 问题验证描述 （测试步骤 人工测试威胁等级 安全建议 会话安全描述 测试客户端在超过20测试步骤 人工测试。威胁等级 安全建议 界面切换保护描述测试步骤 （威胁等级 安全建议 UI信息泄露描述 测试步骤 威胁等级UI安全建议注意UI信息的防护。验证码安全描述测试步骤 ：#coding=utf-8importrequestsimportre#coding=utf-8importrequestsimportres=requests.Session()url_1='https://‘/web/login.jsp’re=s.get(url_1,verify=False)fornumberinrange(10000):url_2='/web/inc/CRrand.jsp?rand='+str(number).zfill(4)s.cookies.set('JSESSIONID','9E426F03658582FE9CD5BF3725CFB444',path='/web/',domain='')req=s.get(url_2,verify=False)result=req.textprint'[*]Tryingfor'+str(number).zfill(4)print'[*]Return:'+result.strip('\n')print'[*]Requesturl:'+url_2if'1'inreq.text:print'**************************************'print'**************************************'print'[*]Thecodeis:'+str(number)print'**************************************'print'**************************************'break （具体可参考附录中的【业务中的一次python验证码爆破】）威胁等级 安全建议 安全退出描述 测试步骤 id威胁等级 安全建议 密码修改验证描述 测试步骤 人工测试。威胁等级 安全建议 Actiiy描述 activity测试步骤HijackActivity.apk，使用activityOK如果劫持成功，会出现如下界面：威胁等级 Activity安全建议Activity劫持通常依靠注册Receiver响应ent.action.BOOT_COMPLETED事件。客户端程序可以在启动前检查Receiver并报警；由于Activity除此之外，因为【0x07】进程保护内存访问和修改描述（帐号等（测试步骤rootMemSpector（ptraceptrace威胁等级 安全建议对于内存中的信息泄露，可以通过反注入、反调试来解决。动态注入描述 测试步骤 LD_PRELOADLD_PRELOAD意so，ls命令libc_init（HookaLibraryFunction）或者使用工具动态注入应用进程内存。参考附录di-DynamicDalvkInstrumentationToolkit或者使用hook框架来进行测试。威胁等级 安全建议 【0x08】通信安全通信加密描述测试步骤 如果使用HTTP(SEmulatorEmulatorIPGenymotionGenymotionWIFIIPd)i.使用netshwlan（ii.。HTTP(S)i.EmulatorrootWindows3.如果不是HTTPUDPWPE，但由于TCP这种情况可以通过APP（）（正常代理，替换SL2.a)/加密签名措施的破解，最终还是要根据客户端的具体实现方式进行分析。下面的例子（）fiddler等）。SSL对客户端程序代码进行逆向分析，从登录按钮的Listener开始进行逻辑追踪，可见Listener对密码进行Base64编码后进行了异步过程调用：找到异步过程子程，如下：编写代码仿制相关加密协议，成功对最初登录报文中的内容进行了解密： staticvoidMain(string[]args){AesCryptoServiceProvidertest=newtest.IV=test.Key=test.Padding=PaddingMode.PKCS7;test.Mode=CipherMode.CBC;ICryptoTransformtdec=taes.CreateDecryptor();stringtinput;while(!sstring.IsNullOrEmpty(tinput=Console..ReadLine())) byte[]ttinput=EncodingEx.Hex(tinput); byte[]toutput=tdec.ICryptoTransformFinalBlock(ttinput,0,ttinput.Length); }威胁等级SSL（TLSRFC4346SSL（SSLV2，SSLV3TLSV1.1）安全建议建议使用SSLCBC证书有效性描述 SSLSSL测试步骤 通过修改DNS，/证SSLJavaSSLHostnameVerifierverifyverify()SSL（SSL 具体可参考附录：HttpsURLConnection。还需要检测SSL协议安全性。主要是检测客户端使用的SSL版本号是否不小于3.0（TLSv1（。测试如下：Openssls_client-host\h-port443威胁等级安全建议使用Https方式进行加密，且服务器通过白名单方式验证客户端证书。关键数据加密和校检描述测试步骤apkjava威胁等级UR