Axiu Blog
iphone app的功能,所以用处的话还是有一些的。 **项目地址** \[[GoogleCode](https://code.google.com/p/smartphonesdumbapps/ "smartphonesdumbapps")\] ### 主要功能 **Android** > 解包apk; > 解码manifest.xml(用ax
这个是一个脚本集,可以帮助分析者分析app的安全性,用perl语言开发。由于知识一些脚本,所以用起来可能没那么只能,没有GUI界面,也不会有“优雅”的分析结果。所以基本上,就是类似“aapt加强版”的脚本。由于加入了分析android和分析iphone app的功能,所以用处的话还是有一些的。 **项目地址** \[[GoogleCode](https://code.google.com/p/s
这个是一个脚本集,可以帮助分析者分析app的安全性,用perl语言开发。由于知识一些脚本,所以用起来可能没那么只能,没有GUI界面,也不会有“优雅”的分析结果。所以基本上,就是类似“aapt加强版”的脚本。由于加入了分析android和分析iphone app的功能,所以用处的话还是有一些的。 **项目地址** \[[GoogleCode](https://code.google.com/p/s
Smart Phones Dumb Apps:用于android和iOS app的安全分析工具
Max

这个是一个脚本集,可以帮助分析者分析app的安全性,用perl语言开发。由于知识一些脚本,所以用起来可能没那么只能,没有GUI界面,也不会有“优雅”的分析结果。所以基本上,就是类似“aapt加强版”的脚本。由于加入了分析android和分析iphone app的功能,所以用处的话还是有一些的。

项目地址 [GoogleCode]

主要功能

Android

解包apk;
解码manifest.xml(用axml2lxml);
获取app需要的权限;
获取app的截屏(根据 Android manifest);
反编译DEX,通过解析DEX来检查文件权限等;
查找URL,主机名以及一些网络路径。

Iphone App

解包iPhone IPA file或者破解XYZ.app/文件夹;
把.plist转成XML以供浏览;
通过查看.plist XMLs来查找app定义的一些URL;
查找URLs,主机名和一些网络路径。

相关内容

Smart Phones Dumb Apps这个脚本集的初衷在于“智能手机意外丢失,‘别有用心’的人通过你的app都能获取到什么信息”这个假设来的(想必是有类似惨痛经历),所以内容是在分析AndroidManifest.xml、res/文件夹中的其他XML文件、classes.dex 这个DEX的二进制文件,通过这些文件,都能看到什么信息,或者有什么隐含的攻击点。

在解码xml文件的时候,用到了 axml2xml,在解DEX的时候,用的是 dedexer,都是比较常用的工具。之后,通过 dex2jar 转换成可读的java代码。

通过以上几步,攻击者甚至可以看到许多程序的数据流程、调用方式、调取的第三方服务等敏感信息,通过一些分析,就能得到程序的薄弱点并加以攻击。

当然,这个只提供了前面解析的部分,攻击的事还是得交给metasploit之类的来……

Comments