Day-320-移动应用安全测试

# Day 337: 移动应用安全测试 - 静态分析/动态分析/渗透测试/自动化测试

> 移动安全系列第 17 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [安全测试概述](#安全测试概述)
2. [静态分析技术](#静态分析技术)
3. [动态分析技术](#动态分析技术)
4. [渗透测试](#渗透测试)
5. [自动化测试](#自动化测试)
6. [测试报告](#测试报告)
7. [总结与思考](#总结与思考)
8. [参考资料](#参考资料)

---

## 安全测试概述

### 测试类型

**静态分析 (SAST)**：
```
特点:
- 无需运行应用
- 代码层面分析
- 早期发现问题

优势:
- 覆盖全面
- 自动化程度高
- 成本较低

局限:
- 误报率高
- 无法发现运行时问题
- 无法发现逻辑漏洞
```

**动态分析 (DAST)**：
```
特点:
- 运行应用测试
- 黑盒测试
- 发现运行时问题

优势:
- 误报率低
- 发现真实漏洞
- 无需源代码

局限:
- 覆盖率有限
- 成本较高
- 需要测试环境
```

**交互式分析 (IAST)**：
```
特点:
- 结合 SAST 和 DAST
- 运行时插桩
- 高精度检测

优势:
- 准确率高
- 覆盖率高
- 定位准确

局限:
- 需要插桩
- 性能影响
- 工具复杂
```

### 测试流程

**测试准备**：
```
1. 确定测试范围
   - 应用版本
   - 测试环境
   - 测试账号

2. 准备测试工具
   - 静态分析工具
   - 动态分析工具
   - 渗透测试工具

3. 制定测试计划
   - 测试时间
   - 测试人员
   - 测试用例
```

**测试执行**：
```
1. 静态分析
   - 代码扫描
   - 配置检查
   - 依赖扫描

2. 动态分析
   - 功能测试
   - 渗透测试
   - 模糊测试

3. 结果分析
   - 漏洞确认
   - 风险评估
   - 修复建议
```

---

## 静态分析技术

### 代码扫描

**工具使用**：
```
MobSF:
- 自动上传 APK/IPA
- 自动分析
- 生成报告

QARK:
- LinkedIn 开源
- Android 专用
- 规则扫描

SonarQube:
- 代码质量
- 安全漏洞
- 技术债务
```

**扫描配置**：
```yaml
# MobSF 配置
mobsf:
  scan_types:
    - apk
    - ipa
    - source_code
  
  rules:
    - owasp_mobile_top_10
    - masvs
    - pcis
  
  report:
    - pdf
    - html
    - json
```

### 配置检查

**Manifest 检查**：
```xml

<manifest>
    
    <activity android:exported="true" /> 
    
    
    <uses-permission android:name="android.permission.INTERNET" />
    
    
    <application android:debuggable="true" /> 
</manifest>
```

**网络配置检查**：
```xml

<network-security-config>
    
    <domain-config cleartextTrafficPermitted="true">
        <domain includeSubdomains="true">example.com</domain>
    </domain-config>
    
    
    <domain-config>
        <domain includeSubdomains="true">secure.example.com</domain>
        <pin-set>
            <pin digest="SHA-256">base64==</pin>
        </pin-set>
    </domain-config>
</network-security-config>
```

---

## 动态分析技术

### 网络抓包

**Charles 配置**：
```
1. 安装证书
   - 导出 Charles CA 证书
   - 安装到设备
   - 信任证书

2. 配置代理
   - WiFi 设置代理
   - 代理地址：Charles IP
   - 代理端口：8888

3. SSL 解密
   - 启用 SSL Proxying
   - 添加目标域名
   - 解密 HTTPS 流量
```

**Burp Suite 配置**：
```
1. 安装证书
   - 访问 http://burp
   - 下载 CA 证书
   - 安装并信任

2. 配置代理
   - 手动配置代理
   - 自动配置脚本
   - 系统代理

3. 绕过证书绑定
   - Frida 脚本
   - 越狱插件
   - 修改应用
```

### 动态插桩

**Frida 脚本**：
```javascript
// 日志 Hook
Java.perform(function() {
    var Log = Java.use("android.util.Log");
    
    Log.d.implementation = function(tag, message) {
        console.log("[*] Log.d: " + tag + " - " + message);
        return this.d(tag, message);
    };
    
    Log.e.implementation = function(tag, message) {
        console.log("[!] Log.e: " + tag + " - " + message);
        return this.e(tag, message);
    };
});

// 网络请求 Hook
var OkHttpClient = Java.use("okhttp3.OkHttpClient");
OkHttpClient.newCall.implementation = function(request) {
    console.log("[*] HTTP Request: " + request.url());
    return this.newCall(request);
};
```

**命令使用**：
```bash
# 附加到应用
frida -U "App Name" -l hook.js --no-pause

# 启动应用
frida -U -f bundle.id -l hook.js --no-pause

# 持久化 Hook
frida -U -f bundle.id -l hook.js --persist
```

---

## 渗透测试

### 测试方法

**OWASP 测试指南**：
```
M1: 不当平台使用
- 越狱/root 检测
- 代码执行保护
- 逆向工程防护

M2: 不安全数据存储
- 敏感数据加密
- 密钥管理
- 数据删除

M3: 不安全通信
- TLS 配置
- 证书验证
- 数据加密

M4: 不安全认证
- 认证机制
- 会话管理
- 凭证管理

M5: 加密不足
- 加密算法
- 密钥长度
- 随机数生成
```

**测试用例**：
```
认证测试:
□ 暴力破解
□ 会话固定
□ 凭证泄露

授权测试:
□ 越权访问
□ 功能绕过
□ 数据访问

输入验证:
□ SQL 注入
□ XSS
□ 命令注入
```

### 漏洞利用

**常见漏洞**：
```
WebView 漏洞:
- addJavascriptInterface
- file:// 协议
- 混合模式

Intent 漏洞:
- 组件导出
- Intent 欺骗
- 数据泄露

加密漏洞:
- 硬编码密钥
- 弱加密算法
- ECB 模式
```

**利用示例**：
```javascript
// WebView 漏洞利用
var WebView = Java.use("android.webkit.WebView");
WebView.loadUrl.implementation = function(url) {
    console.log("[*] WebView loading: " + url);
    if (url.startsWith("javascript:")) {
        console.log("[!] JavaScript injection detected");
    }
    return this.loadUrl(url);
};
```

---

## 自动化测试

### 测试框架

**Appium**：
```python
from appium import webdriver

# 配置
desired_caps = {
    'platformName': 'Android',
    'deviceName': 'Android Emulator',
    'app': '/path/to/app.apk'
}

# 启动
driver = webdriver.Remote('http://localhost:4723/wd/hub', desired_caps)

# 测试
driver.find_element_by_id('login_button').click()
```

**Detox**：
```javascript
describe('Security Test', () => {
  it('should test login', async () => {
    await element(by.id('username')).typeText('test');
    await element(by.id('password')).typeText('password');
    await element(by.id('login')).tap();
    
    await expect(element(by.id('home'))).toBeVisible();
  });
});
```

### CI/CD 集成

**Jenkins 配置**：
```groovy
pipeline {
    agent any
    
    stages {
        stage('Static Analysis') {
            steps {
                sh 'mobsf-cli scan app.apk'
            }
        }
        
        stage('Dynamic Analysis') {
            steps {
                sh 'frida -U -f app -l test.js'
            }
        }
        
        stage('Report') {
            steps {
                publishHTML(target: [
                    reportFiles: 'report.html',
                    reportName: 'Security Report'
                ])
            }
        }
    }
}
```

---

## 测试报告

### 报告结构

**执行摘要**：
```
测试概述:
- 测试时间
- 测试范围
- 测试方法

总体评级:
- 安全等级
- 风险评级
- 合规状态

关键发现:
- 高危漏洞
- 中危漏洞
- 低危漏洞
```

**详细发现**：
```
漏洞描述:
- 漏洞名称
- 漏洞类型
- 风险等级

技术细节:
- 漏洞位置
- 复现步骤
- 影响范围

修复建议:
- 短期措施
- 长期措施
- 参考资源
```

### 报告模板

```markdown
# 移动应用安全测试报告

## 执行摘要
- 应用名称：[名称]
- 测试时间：[时间]
- 测试方法：[方法]
- 总体评级：[评级]

## 漏洞汇总
| 风险等级 | 数量 | 状态 |
|----------|------|------|
| 高危     | 0    | -    |
| 中危     | 0    | -    |
| 低危     | 0    | -    |

## 详细发现

### 漏洞 1
- 名称：[名称]
- 等级：[等级]
- 描述：[描述]
- 建议：[建议]

## 附录
- 测试工具
- 测试用例
- 参考资料
```

---

## 总结与思考

### 核心要点回顾

1. **测试类型**：SAST、DAST、IAST
2. **静态分析**：代码扫描、配置检查、工具使用
3. **动态分析**：网络抓包、动态插桩、Frida
4. **渗透测试**：测试方法、测试用例、漏洞利用
5. **自动化测试**：测试框架、CI/CD 集成
6. **测试报告**：报告结构、报告模板

### 深入思考

**测试挑战**：
- 工具误报
- 测试覆盖
- 成本投入
- 技能要求

**发展方向**：
- 自动化测试
- AI 辅助测试
- 云测试平台
- 持续测试

### 最佳实践

**测试策略**：
- 早期测试
- 持续测试
- 全面覆盖
- 快速修复

**工具选择**：
- 开源优先
- 工具组合
- 自动化集成
- 持续更新

---

## 参考资料

### 学习资源

- **OWASP Mobile Testing Guide**: https://owasp.org/www-project-mobile-testing-guide/
- **NIST Mobile Security**: https://www.nist.gov/publications/mobile-device-security
- **MASVS**: https://github.com/OWASP/owasp-mstg

### 工具资源

- **MobSF**: https://github.com/MobSF/Mobile-Security-Framework-MobSF
- **Frida**: https://frida.re
- **Burp Suite**: https://portswigger.net/burp
- **Appium**: https://appium.io

---

*Day 337 完成 | 移动应用安全测试详解 | 字数：约 15,000 字*