安装包安全测试

作者:超级管理员 更新时间:2017-09-13 13:56:50 来源:未知 点击:15642
  主要说明以下内容:  1、能否反编译代码  2、安装包是否签名  3、完整性校验  4、权限设置检查  反编译代码:移动应用发布出去后最终用户获得的是一个程序安装包,我们需要关注的是用户能否从这个
  主要说明以下内容:
  1、能否反编译代码
  2、安装包是否签名
  3、完整性校验
  4、权限设置检查
   反编译代码:移动应用发布出去后最终用户获得的是一个程序安装包,我们需要关注的是用户能否从这个安装包中获取项目的源代码,从安全方面考虑,程序开发人员是否会在程序源代码中硬编码一些敏感信息,如密码等。常用的反编译方法是使用dex2jar工具并结合jd-gui工具( java的反编译工具)查看源代码。(一般是正式发布的时候才看, 测试环境代码混淆了日志不好查看)
  1、下载dex2jar和JD-GUI,在参考资料中添加了这两个工具的 百度网盘下载地址供读者下载使用
  2、找到我们准备测试用的apk,并将 后缀.apk改为.zip
  3、将test.zip解压,并查看目录,找到classes.dex
  4、并将这个文件拷至dex2jar工具存放目录下
  5、打开控制台,使用cd指令进入到dex2jar工具存放的目录下,如图
  6、进入到dex2jar目录下后,输入“dex2jar.bat classes.dex”指令运行
  执行完毕,查看dex2jar目录,会发现生成了classes.dex.dex2jar.jar文件
  7、上一步中生成的classes.dex.dex2jar.jar文件,可以通过JD-GUI工具直接打开查看jar文件中的代码
  被混淆过的class反编译后的效果图(类文件名称以及里面的方法名称都会以a,b,c....之类的样式命名):
  安装包是否签名:IOS系统不必太考虑这些问题,因为IOS每一个App发布出来都有一个正式的发布证书来签名,发布到App Store 时,App Store会做校验,保证APP是合法的开发者发布出来的。对于 Android来说,发布的渠道多样,没有此类权威检查,我们需要验证下签名使用的Key是否正确,以防被第三方应用恶意覆盖安装,我们可以使用一下命令检查:
  jarsigner -verify -verbose -certs apk包路径
  如果运行后,显示 jar已验证,说明签名校验成功
  完整行校验:为确保安装在测试过程到发布过程中因为各种问题导致文件损坏,需要对安装包做完整性校验,通常做法是检查文件的MD5值,一般通过 自动化测试校验。

【推荐】Appium直播课早鸟价限时优惠,APP自动化的首选利器>>

推荐阅读

热门内容

优化压测脚本( loadrunner+p

  使用python脚本配合loadru...

一道有趣的BAT公司面试题:7只老鼠测试

  起源  今天,休息的时候同事虎哥给我...

安装包安全测试

  主要说明以下内容:  1、能否反编译...

功能测试大揭秘(2)—— Appium基

  上文回顾  上一篇为大家介绍了如何通...

iOS单元测试之XCTest详解

  前言:测试是一个好的App不可缺少的...

Android开源数据库 GreenDa

  GreenDao是一款对象关系映射(...

深入理解计算机系统(1.1)——Hell

  1、计算机系统  我们知道计算机系统...

基于.NET CORE微服务框架 -谈谈

  1、前言  对于最近surging更...

Google:防钓鱼工具让全球30亿台设

  Google宣布防钓鱼工具已经累计为...

难以避免的泄漏事故:怎么解?

  世界各地的企业都在担忧网络安全威胁问...

最新内容

将爱进行到底 苹果发布会直播果粉占半

    中关村在线消息:昨夜今晨不论科技圈还是朋友圈最火爆的恐怕没什么事儿能与苹...

金立新机来袭 这一点不输苹果iPhone X

    一年一度的“科技春晚”在9月13日凌晨拉开了序幕,苹果一口气为用户带来了...

iPhoneX真有腮红金 不过要等明年一月

    今天凌晨,万众瞩目的苹果iPhone X正式发布了。但与此前的传闻不同的...

苹果iPhoneX方言直播:广东人最爱天津话

    中关村在线消息:昨夜今晨科技圈儿最大的事儿恐怕非苹果新品发布会莫属了。在...

有奖调查:看看多少人想买苹果iPhone X

    苹果公司于西部时间9月12日上午10点(北京时间9月13日凌晨1点)在苹...

iPhone X全球售价对比 在这里买最划算

    几个小时前刚刚发布了iPhone X及iPhone 8手机,我是全程看完...

iPhone X发布会 我们送出了千瓶小茗同学

    中关村在线消息:今天凌晨1点,苹果如期召开2017秋季新品发布会,发布了...

10年前投1万买苹果股票 能赚81部iPhoneX

    苹果股票向来是苹果发布会的方向标,每年每代iPhone的新品发布会结束后...

13万名网友在ZOL参加了iPhone8的调查

    中关村在线消息:今天凌晨,苹果终于发布了万众期待的iPhone8、iPh...

库克背后的十个男人 他们成就了iPhoneX

    十年前,乔布斯创造了iPhone;今天,库克带来了iPhoneX。然而无...

十年来的这些收购案 让库克做梦都会笑

    熟悉苹果公司的朋友都知道,苹果公司有一句耳熟能详的官方声明,它的原文是:...

iPhone8值得买的4个理由 看完不想买X了

    今天凌晨,iPhone8系列在一年一度的科技圈春晚9月苹果发布会强势推出...

苹果安卓斗了十年 iPhone还是输掉这些

    北京时间9月13日凌晨,苹果2017年新品发布会举办于史蒂夫·乔布斯剧院...

iPhoneX要接管下半场 这四款旗舰肯定不服

     iPhone X的庐山真面目终于揭晓,毫无疑问在它的带领下,全面屏将成...

iPhoneX发布会 库克这五件事故意没有说

      总结一下,本次苹果秋季新品发布会,只需要拖到One More Thi...

iPhoneX对比三星Note8 差异不止全面屏

      手机圈的年度大戏莫过于苹果新款iPhone和三星新Note旗舰的发布...

iPhoneX到底贵在哪 六大特点深度解析

      北京时间9月13日,苹果在乔布斯剧院正式发布了三部新款iPhone,...

优化压测脚本( loadrunner+python)

  使用python脚本配合loadrunner做二进制数据压测  背景  大部...

一道有趣的BAT公司面试题:7只老鼠测试100个瓶子

  起源  今天,休息的时候同事虎哥给我们说了一个很有意思的问题:有100个瓶子...

为啥编译时会出错

#includeusing namespace std;cl...