Android安全测试（一）

目前APP测试领域，关注重点基本都在功能测试，自动化测试，而我工做三年了，研究点也一直处于自动化测试领域，而忽视安全测试方面的学习

偶尔看到一则新闻，说某人家里电视机闹鬼，只要电视通电，电视就本身换台，自动重启，发出哭声之类的，售后师傅刚上门给换了一台新的，售后师傅还没下楼，电视机就又开始发疯了...

懂点技术基本都能摸个差很少，就是这家人的电视被攻击了，从售后师傅帮忙刚换了新电视，电视又发疯

我分析应该是无线网被攻破，攻击者电脑便与电视处于同一局域网内，以后经过技术手段进行攻击。攻击者能够垂手可得的就对电视进行操做，主要是电视系统的安全性不到位，常见的电视系统安全不到位的状况有：

》一、电视出厂前adb链接的开关没有关闭

》二、进入工厂菜单操做步骤简单，用户能够轻易进入工厂菜单进行各项更改

》三、用户能够轻易获取到超级管理员的权限

以后我就开始安装kali linux，学习了点渗透测试方面的知识，固然也仍是菜鸡一只。下图就是本身的雕虫小技，尝试的将电视上图片都替换成红包，惋惜还没成家，否则还能够利用这个方法制造点浪漫

 

 下面就开始天天写一点Android渗透测试的内容，固然本身也是小白，权当记录一下

一、数字签名检测

打开cmd，进入到JDK的安装路径，C:\Program Files\Java\jdk1.8.0_111\bin，输入命令:

jarsigner.exe -verify APK文件路径

 

当输出结果为“jar已验证”，则表示签名正常，测试经过。

二、检测签名的字段是否正确标示客户端程序的来源和发布者身份，输入命令：

jarsigner.exe -verify -verbose -certs APK文件路径

若各个字段与咱们预期的一致，则测试经过

须要注意的是，只有在直接客户签名的证书签名时，才认为安全。 Debug 证书、第三方（如开发方）证书等均认为是风险

 

下一遍，记录APK反编译检测