从传统移动客户到移动网游客户端安全测试.PDFVIP

杭州2013.12.20 ： 从传 到 @ L0ckhart . /lockhartcn 大纲 1 背景 2 传统移动客户端测试 3 移动游戏客户端测试 4 除了测试还能做什么 背景 • 安全需求？ 1、金融 （银行、券商）、运营商、ZF （气象、12306等） 2、互联网、网游等（自己做） • 现状 1、移动应用只是包了一层壳的Web 、PC应用（Wlan是包了一层壳的有线环境） 2、大部分从客户端发现的严重问题都可以在服务端解决 • 引进类游戏的安全弊端 • 盲点？合作 1、本地化带来的安全问题 1、Web *2、逆向分析、调试 2、漏洞、bug更新周期 3、脚本语言 3、无法在服务端做更好的测试（协议、API ） 4 、历史、组织问题 传统客户端测试框架 源代码安全 重要函数、逻辑、加密算法、 【是否开启PIE Flag 】 /data/data/*(xml,plist,db) 、sdcard、 数据存储安全 【/var/mobile/Applications/-GUID-/* 】 数据传输安全 传输加密、伪造、服务端验证 敏感信息安全 硬编码、日志、内存、调试信息、组件（Activity/Service/R eceiver/Provider）、 【Keychain、屏幕快照、键盘存储…】 客户端安全 异常处理 增强安全 权限、进程保护、内存修改、键盘劫持、第三方SDK、 【URL schema、内购破解、Binary patch、Runtime attack 】… 业务安全 支付…?聊天…?交友…?游戏…? 合规安全 行业合规、安全策略（密码、登陆、会话…） 阉割的Apk报告 检查代码混淆、硬编码信 息 检查加密是否可逆、可篡改 检查文件、内存、日志敏 感信息 根据业务功能项检查是否绕 过正常业务逻辑 简单客户端的流水线测试 - - ! 不看jar 、不调试so ，秒出 Android-App测试工具 dex2jar、jd-gui 、apktool、baksmali、keyt