移动应用安全测试全攻略：审计、工具与规范解析

"《移动应用安全测试基础以及技能分享》一书深入探讨了移动应用安全测试的核心要素。该文档首先介绍了移动应用安全审计的基础，涵盖了Android和iOS平台的应用审计系统，强调了针对这些平台可能存在的风险，如数据安全问题，如本地文件全局可读写、敏感信息泄露、日志泄露等。运行环境安全方面，讨论了模拟器运行、界面劫持、Hook框架可能导致的安全漏洞，以及内存注入和修改等攻击手段。 在应用安全层面，作者关注了组件导出风险、应用签名缺失、可二次打包和源代码未混淆等问题，以及如何防范如"Janus"签名绕过这样的高级攻击。对于WebView的使用，强调了远程代码执行、密码明文存储、证书校验和File域同源策略的潜在威胁。 网络安全部分，指出未使用HTTPS协议、敏感信息未加密可能导致中间人攻击等安全问题。业务安全方面，讨论了重发攻击、越权、验证码滥用以及数据封包弱加密等，这些都是开发人员在设计和实现过程中必须警惕的。 安全开发规范中，着重于数据安全，包括敏感信息的存储策略，如禁止明文存储，采用主流加密算法，确保密钥长度和文件权限的安全性。此外，还提及了日志安全，如在正式版本中移除debug日志，以及正确处理崩溃日志和敏感信息的处理方式。动态加载Dex文件时，强调了存储位置的控制和完整性校验的重要性，以防止恶意篡改。 最后，书中给出了完整性检测的建议，如应用签名校验和文件完整性校验，以及针对"Janus"签名绕过漏洞的防护措施。这些内容对于理解和提升移动应用的安全防护能力具有实际指导价值，是移动开发者和安全专家不可忽视的重要参考资料。"