APP 安全测试（OWASP Mobile Top 10）--后篇之一

柔情只为你懂 2023-07-12 09:19 36阅读 0赞

OWASP Mobile Top 10 相对于Web的OWASP Top 10来说，个人觉得描述的相对简单多，并且安全测试的时候的可操作性也不是太强。本来打算个人整体捋一遍的，但因为项目时间的问题，前面四个章节安排给了别人去负责，我只负责后面的六章（所以标题写了后篇）。下面我把个人的测试方法简单叙述一下。下面可能有些测试点不全或者有瑕疵，欢迎纠错。。。。

--------------------

OWASP Mobile Top 10 ：

*   M1 - 平台使用不当
 *  M2 - 不安全的数据存储
 *  M3 - 不安全的通信
 *  M4 - 不安全的身份验证
 *  **M5 - 弱加密**
 *  **M6 - 不安全的授权**
 *  **M7- -客户端代码质量**
 *  **M8- -代码篡改**
 *  **M9-- 逆向工程**
 *  **M10- 无关功能**

--------------------

# 测试工具： #

adb ，dexjar，apktool.jar，signapk.jar，jd-gui，Android Killer，hijackActivity，adb/dorzer，Bytecode View， Burp，Fortify

# 测试内容： #

### **M5 - 弱加密** ###

1.  是否内置代码加密/硬编码
2.  加密密钥管理
3.  是否合理加密算法
4.  是否使用广为人知的加密加密算法
5.  是否过时/不安全

测试方法：

1.静态代码审计，代码里面check（这属于白盒，正常只有个apk的话这步就不需要了）

![20200308110203796.png][]

2. 反编译check

2.1 反编译apk

1. 将apk格式后缀缓存.zip后缀  
         2. 查看class.dex文件，然后将其转换成jar包格式

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70][]

3. 命令行解包：d2j-dex2jar.bat  E:\\APP Security Testing\\\*\*\*\\classes.dex -o E:\\APP Security   Testing\\OutPut\\classes\_jar2dex.jar

注意：这边jar包名字一定要跟上面一样

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 1][]

4. 查看生成的jar文件，然后用jd-gui打开

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 2][]

5. 正常代码混肴或者加固后，具体的是看不到的。

6. 但往往代码加固不牢的情况下，我们还是可以查看到，在反编译的代码中搜索关键字（Encode/Decode/Password/Key）

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 3][]

7. 查看代码中具体调用这些弱密码的代码段，判断使用是否合理。

8. 关于硬编码和Key同样，确定是不是可以在代码中直接能找到。

--------------------

### **M6 - 不安全的授权** ###

1.  不安全的应用程序权限设置
2.  冗余授予的权限
3.  存在不安全的直接对象引用（IDOR）漏洞

测试方法：

1. 这边使用的Android Killer，因为这个工具会把权限这块明显的列出来（Andriod killer的使用有点傻瓜式的，这边我没有具体写出来）

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 4][]

上面标色的权限部分，根据业务需要分别check一下，看一下是不是真的是必须的。

2. 冗余授权也可以在这边找到，但也可以用另外一个工具drozer查看

![2020030811302058.png][]

![202003081131000.png][]

3. 存在不安全的直接对象引用（IDOR）漏洞

这个问题测试的时候需要app本身，而且需要Burp截断，截断后修改主体信息，看能否修改成功，这边有点像测试防篡改和防重放的测试。 可以重点测试敏感信息，身份认证相关的API。

--------------------

未完待续：[APP 安全测试（OWASP Mobile Top 10）--后篇之二][APP _OWASP Mobile Top 10_--]

[20200308110203796.png]: https://img-blog.csdnimg.cn/20200308110203796.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70]: https://img-blog.csdnimg.cn/20200308110600139.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 1]: https://img-blog.csdnimg.cn/20200308110923720.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 2]: https://img-blog.csdnimg.cn/20200308111158316.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 3]: https://img-blog.csdnimg.cn/2020030811162082.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 4]: https://img-blog.csdnimg.cn/20200308112619261.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx,size_16,color_FFFFFF,t_70
[2020030811302058.png]: https://img-blog.csdnimg.cn/2020030811302058.png
[202003081131000.png]: https://img-blog.csdnimg.cn/202003081131000.png
[APP _OWASP Mobile Top 10_--]: https://blog.csdn.net/m0_37268841/article/details/104730008