入门安全测试,测试工具要会选!

Posted 测试萌萌

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了入门安全测试,测试工具要会选!相关的知识,希望对你有一定的参考价值。

引言

时间如梭,梭梭催人老。一转眼,已经好长时间没有更文了,只因为这段时间,我90%的时间只投入了两件事:

①产品的安全测试;

②以队长身份参加我厂组织的安全渗透活动。

最后的比赛结果,当然是不负众望,在总厂与子厂的18支参赛队伍(70+人数)中,我荣获个人第二名,团队第二的成绩。

因为习惯了获奖的感觉,所以对我来说,相对于奖牌与名次,更喜欢我的Boss们开心的样子(毕竟月底的KPI、年终总结……)

当然,在参与项目这段时间,我也有了新的成长,对渗透测试也有了新的提升。所以今天,我也准备分享移动APP的安全渗透测试,在这里,你会学到:

①移动APP安全测试的重要性;

②主流的移动APP测试工具;

③从0到1搭建Mobile Security Framework(俗称MobSF);

④搭建过程中的避坑指南;

⑤如何使用MobSF;

⑥测试报告总结及分析。

或许你会有疑问:在网上搜索一下,就能知道MobSF的搭建方法,为什么还要分享?

因为网上的那些所谓的教程几乎很难看到非常详细的,并且没有自己从0到1的亲自实践及总结。还有一点,也是我认为要整理并分享的原因,即:如何解决搭建及使用过程中遇到的问题。

看到这里,是不是已经有些期待了呢?别停下,跟着我的思路,开启今天的课程学习吧。

软件安全测试

什么是信息安全

关于信息安全,现在的互联网时代,无时无刻不被提醒,例如:

  • 移动/联调/电信的短信提示

  • 下载软件时的信息安全提示

  • 你给陌生人转账时的信息安全认证

说了这么多,那到底什么是信息安全呢?

引用官方的话:信息安全事关国家生产运行、国家经济安全和人民生命财产安全,是网络强国战略、制造强国战略的重要支撑内容。

你看,信息安全的重要性,下到我们的个人身份信息, 上到国家信息战略,所以,这也凸显出,信息安全的重要性。

既然信息安全这么重要,那如何避免信息威胁呢,信息威胁都有哪些种类呢?我们接着往下看。

信息安全威胁

要想保障信息安全,我们就需要先了解,信息威胁的种类都有哪些,我先上一个表格,这是2021年OWASP TOP 10的安全漏洞:

通过上面的TOP 10的漏洞威胁, 如果不是从事安全工作或者不了解安全信息的同学来说,理解起来有点费劲,但是我举个例子,你就会知道:

  • 弱密码

还记得前段时间,新闻报道过,曝出某个国家的国防系统登录账号及密码为 “admin”和“123456”。

这是什么概念呢?我举个例子:虽然你每天都会锁门,但是你的钥匙就放在门边上。你说,你这门锁有什么意义呢?

当然,如果对瞎子来说,可能有点费劲,毕竟钥匙放到哪里,瞎子是看不到的,但是又有哪个瞎子会去陌生人家里 “串门”呢?

安全测试目的

到这里,既然知道信息安全的重要性,以及信息威胁的种类,我们就需要避免这些漏洞就好了。

但是,如何避免,又如何能确定自己开发的模块就没有安全漏洞呢?这个时候就需要安全测试的介入了。

在安全测试介入前,我们需要了解安全测试的目的,只有知道其目的,才能更好进行测试。

我也用一段话来回答:安全测试的目的,就是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力, 根据安全指标不同测试策略也不同,如果遵循相同的原则,去证明软件的安全性,将有利于软件安全测试的工作规范的进行,有利于软件安全测试工作的发展。

俗话说,要想彻底打败”敌人”,除了自己有高超的武艺外,还需要有“武器”的加持。

所以,在了解安全测试目的后,我我们就进入安全测试的下一个阶段,即:学习掌握安全测试工具。

安全测试工具介

关于移动APP的安全测试工具,有很多,这里,我只介绍3款,即:

  • Mobsf

  • QARK

  • Drozer

我想,做过移动APP安全渗透测试的同学,对这三款工具,应该都不陌生,这三款应该在移动APP的安全测试界的主流了,这里,我也对这三款进行简单介绍,希望你能对它们有一个初步的认识。

MobSF

Mobsf,全称为Mobile Security Framework, 是一款自动化移动 App 安全测试工具,适用于 iosandroid,可执行动态、静态分析和 Web API 测试。

  • 功能:

Mobsf可用于对 Android 和 iOS 应用进行快速安全分析;

支持 binaries(IPA 和 APK)以及 zipped 的源代码。

  • 特点:

一款开源移动APP安全测试工具;

可以在本地环境托管,不用担心信息泄露;

对Android 、IOS、Windows三个平台的移动APP进行安全性分析。

  • 展示图:

QARK

QARK 全称Quick Android Review Kit,由领英(LinkedIn)开发,是一款静态代码分析工具,可以快速 Android 审查工具包,这个工具可用来检查 Android 应用的源代码和打包的 APK 中常见的安全漏洞。

  • 特点:

一款开源移动APP安全测试工具;

能提供详细的漏洞报告;

能扫描移动 App 中的所有元素,查找安全威胁;

它可以生成 ADB 命令,甚至是功能齐全的 APK,从而将假设的漏洞转化为有效的 “POC” 漏洞利用。

  • 弊端:

QARK 会将 Android 应用程序反编译回原始源代码,这在某些情况下可能属于违法行为,谨慎使用。

  • 展示图:

Drozer

Drozer 是由 MWR InfoSecurity 开发的 App 安全测试框架,分为两部分,即:

①安装在PC端的控制台;

②安装在终端上的代理APP。

  • 交互:

可以通过与dalivik VM交互、与其他应用程序的IPC端点交互、与底层操作系统的交互,来避免正处于开发阶段或者正处于部署于组织的Android应用程序和设备暴露出安全风险。

  • 特点:

一款开源移动APP安全测试工具;

可以基于真机和模拟器进行测试,不需要USB调试或其他开发工具即可使用;

可以进行自动扩展,进行app的安全测试。

  • 弊端:

只支持python2.x的版本,不支持python3.x的版本;

PC端与移动端交互时,需要adb命令。

  • 展示图:

 PC端

 移动端

我之所以列举这三款工具:

第一,这三款工具在移动APP的安全测试中还算比较主流,并且使用的人数也挺可观;

第二,因为这三款工具有的可以直接分析静态代码和动态交互,有的可以直接进行在移动APP上进行操作;

第三,这三款工具,测试报告给我的感觉非常的完善;

第四,这三款工具,我使用的经验比较丰富。

所以本系列我主要介绍Mobsf这款工具(后面的两篇文章会一一讲解如何安装和使用),至于其他两款,后面会逐一进行介绍。

最后:下方这份完整的软件测试视频学习教程已经整理上传完成,朋友们如果需要可以自行免费领取【保证100%免费】

这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!

以上是关于入门安全测试,测试工具要会选!的主要内容,如果未能解决你的问题,请参考以下文章

9012年,你会选哪些安全测试工具?

单元测试的测试工具

软件测试入门要知道哪些?

Jest 单元测试入门

Egg.js 单元测试入门

单元测试的艺术-入门篇