软件测试的Android APP安全测试基础

软件测试的Android APP安全测试基础

背景

模拟器

模拟器笔者经常使用有两款，一款是BlueStacks，这款个人感觉是做的非常不错的，一般安装操作App非常流畅，不会有卡死的情况。另外一款就是SDK模拟器(Software Development Kit)了，这款是特别高大上的，类似虚拟机vm一样，可以建立多个虚拟机，安装不同的android系统。

BlueStacks

安装的时候会提示安装”给力助手”，给力助手是辅助操作的，可以安装电脑上下载的app安装包到模拟器，也可以卸载已经安装的，还有很多针对模拟器的设置功能。

Software Development Kit

下载之后打开包中的eclipse，然后进行模拟器Android镜像的下载，包中自带的镜像是Android 5.0的镜像，建议下载老版本的，方便测试App，新版的镜像部分App在安装的过程中可能会有不兼容的情况。

抓包神器

抓app包的方法有很多种，比如手机设置代理用BurpSuite进行抓包，或者可以用fidder抓包。我比较习惯用一款小工具smsniff进行抓包，使用起来比较方便，抓到的包再放到Burpsuite进行修改提交等。

这款工具比较小巧，占用资源较少，有些时候用burp等抓包会发生错误，或者直接导致虚拟机上的app无法连接网络，用这款就不会发生以上说的情况。

SDK小工具

SDK中自带了几款很不错的小工具，我比较常用的有adb和emulator。ADB是一个客户端-服务器端程序，其中客户端是你用来操作的电脑，服务器端是android设备。SDK包中默认就有这俩款小工具

Emulator

Emulator命令我目前常用的就两招，启动android虚拟机，以代理模式启动android虚拟机。

其中xiaomi是我新建的android虚拟机的名字，设置代理启动之后，就可以用burp进行抓包了。

反编译工具

反编译app主要用apktool和d2j-dex2jar.bat，我比较常用的是dex2jar。

命令执行之后会在apktool.jar所在目录下生成一个app的目录。

用rar打开apk文件，将其中的classes.dex解压出来，然后执行命令d2j-dex2jar.bat d:\Appsec\xx\classes.dex

执行完成之后会在d2j-dex2jar.bat相同目录下生成一个.jar的文件，可以用jd-gui.exe直接打开.jar来查看app的源代码。

案例分享

App安全测试，我只能测测简单的，大多是权限绕过类的，比如绕过锁屏密码、任意用户登录等。基本都是因为app代码设计缺陷或者权限验证不足导致的。

· 任意用户登录

某次测试一个app，RP比较好，发现一任意用户登录漏洞。在本地的配置文件中有登录用户的帐号和密码，APP设计比较奇葩，只是验证了用户登录邮箱，没有验证密码，导致通过修改本地的配置文件就可以实现任意用户登录，登录之后能够查看别人的订单等数据。在android虚拟机中安装的app都在/data/data目录下。

app安装目录下的结构都是差不多的，主要有缓存文件、数据库目录、本地文件、配置文件等。比较重要的目录有databases、shared_prefs。分别保存了数据库文件和配置文件。

有用户的登录邮箱和密码，将邮箱修改成存在的用户邮箱，密码随意输入，然后adb shell之后，用linux命令删除android虚拟机上已经存在的配置文件，再用adb push将修改后的文件发送到android虚拟机，再打开app发现已经用其它用户成功登录了。