怎么检测app进程漏洞

‘壹’ 如何对安卓APK进行安全检测和漏洞检测

一般APP安全检测主要就是对APP安全风险以及安全漏洞检测，根据爱内测平台介绍，主要通过静态分析、动态分析以及人工检测：
静态分析： 利用apktool、dex2jar、jd-gui、smali2dex等静态分析工具对应用进行反编译，并对反编译后的java文件、xml文件等文件静态扫描分析，通过关键词搜索等静态方式将具有安全隐患的代码进行摘录并存入到检测平台后台，为后续的安全检测报告提供数据依据
动态分析：对应用软件安装、运行过程的行为监测和分析。检测的方式包括沙箱模型和虚拟机方式。虚拟机方式通过建立与android手机终端软件运行环境几乎一样的虚拟执行环境，手机应用软件在其中独立运行，从外界观察应用程序的执行过程和动态，进而记录应用程序可能表现出来的恶意行为。
人工检测： 专业安全人员对待检测应用，对其进行安装、运行和试用，通过在试用过程中，逐步掌握应用的特点，并通过专业经验，来圈定检测重点。人工专业检测在涵盖基础检测和深度检测的全部检测项的同时，兼顾侧重点检测，给予应用更全面、更专业、更贴合应用的量身打造的检测服务。

‘贰’ APP的安全漏洞怎么检测，有什么工具可以进行检测

目前我经常用的漏洞检测工具主要就是爱内测，因为爱内测会根据应用特性，对程序机密性会采取不同程度不同方式的检测，检测项目包括代码是否混淆，DEX、so库文件是否保护，程序签名、权限管理是否完整等；组件安全检测主要针对Activity、Broadcast Receiver、Service、WebView、Intent等是否存在漏洞，并给出针对性建议；数据安全会全面检测APP存在的数据泄漏漏洞和输出层、协议层等所有涉及数据安全的漏洞，确保APP里那些可能导致帐号泄露的漏洞被全部检测出。

‘叁’ 怎么去测试一个app是否存在安全问题

说说我对安全测试的理解。全部基于工作中积累的经验，跟各位知友分享。

首先，个人认为经过安全测试后的App，并不是说它就是一定是安全的；只能说减少了一些已知的安全问题，降低了它的安全风险，提高了App被调试分析以及破解的门槛。那么一般如何去进行安全测试呢？
安全测试一般分为动态功能测试和静态测试。
动态功能测试一般从App自身的内容出发，来进行测试内容的整理。
从应用内容出发，例如App内有提供帐号登录的功能，那么，
请问是否有对登录的帐号密码保存在手机本地，
又问是否对与服务器端的交互封包提供了加密处理；
交互封包中的帐号密码是否也有处理；
再问是否对加密的密钥进行隐蔽的保存；
并且误帐号或密码的登录次数是否有限制等。
可以看到整个流程是，从应用本身的功能点出发，而引发的一系列测试内容。而这种类型的安全测试，也更多的像是需要测试人员对App在进行安全攻击，然后确认其安全性。
可以看到在整个测试过程中，更多的是需要人工参与，无法进行自动化测试的功能。

如果说以上和应用内容相关测试为动态功能测试，那么再来看看静态测试。
静态测试主要测试些什么呢？
再看上面的测试逻辑，请问如何知道封包是否加密呢？可以通过调试分析App进程。
那么怎样的App可以或者更容易被调试分析和破解呢？这就涉及到Apk本身的很多配置。例如在Apk的AndroidManifest.xml文件内，有android：debuggable=“false”这样的标志位。并且由于Apk底层都是使用Java，其本身很容易被反编译获得源码，这样可以更进一步的分析应用的漏洞点。所以从这个方面想，是否应该需要对Java的dex文件进行保护或者混淆。
综上，可以看到静态测试更多的是在Apk文件本身的层面进行，因此它具有通用性。而且更重要的是，这部分测试内容更适合于自动化测试。

针对App的静态测试，自动化测试工具：WeTest腾讯质量开放平台（wetest.qq.com），可以扫描出一部分安全问题。更多的功能性问题，还是需要人工去排查发现。
以上，共同进步，祝好！

‘肆’ 求如何快速检测App漏洞的方法

我的情况也跟你一样，公司没有那么多的财力人力去专门开发检测app漏洞的工具，所以需要找解决的办法，在网上找到了爱内测平台，虽然今年才上线不久，不过检测技术方面还专业的。能够快速分析找出漏洞、多方位检测，一键生成安全检测报告。你也可以去试试。

‘伍’ 如何判断APP是否存在漏洞或被恶意攻击

1 文件检查：检查dex、res文件是否存在源代码、资源文件被窃取、替换等安全问题。
2 漏洞扫描：扫描代码是否使用混淆，存在安全漏洞。检测签名、XML主配文件进行安全检查,是否容易被静态注入、嵌入恶意代码。详见网站：http://safe.ijiami.cn/
3 后门检测：检测APP是否存在被二次打包，然后植入后门程序或第三方代码等风险。
4 一键生成：一键生成App关于源码、文件、权限、关键字等方面的安全风险分析报告。
常见APP漏洞及风险：静态破解、二次打包、本地存储数据窃取、界面截取、输入法攻击、协议抓取等。

‘陆’ APP漏洞怎么检测APP有漏洞的话怎么才能检测出来

1文件检查：检查dex、res文件是否存在源代码、资源文件被窃取、替换等安全问题。

2漏洞扫描：扫描代码是否使用混淆，存在安全漏洞。检测签名、XML主配文件进行安全检查,是否容易被静态注入、嵌入恶意代码。详见网站：http://safe.ijiami.cn/

3后门检测：检测APP是否存在被二次打包，然后植入后门程序或第三方代码等风险。

4一键生成：一键生成App关于源码、文件、权限、关键字等方面的安全风险分析报告。

常见APP漏洞及风险：静态破解、二次打包、本地存储数据窃取、界面截取、输入法攻击、协议抓取等。

‘柒’ APP漏洞检测主要从哪几个方面进行检测

一般来说，主要就是针对程序机密性检测：如代码混淆、DEX保护监测、so保护监测、程序签名检测、完整性校验、权限管理检测。还有就是组件安全检测，数据安全检测，业务安全检测这几大类，建议你可以去了解一下爱内测，有全面的检测项目。希望可以对你有所帮助。

‘捌’ 怎么快速测试APP应用的bug

一、跨平台开发移动应用测试框架
Appium：无需SDK和编译即可测试
一款开源且扩平台的自动化测试工具，适用于测试原生或混合型移动App，支持iOS、Android和FirefoxOS平台。通过它，开发者可以利用测试代码完全访问后端API和数据库。Appium是基于无需SDK和编译就可以对原生应用进行测试的理念而设计的。
该框架不仅能完美支持iOS、Android应用，还可直接在PHP、Python、Ruby、C#、 Clojure、Java、Objective-C、JavaScript及Perl等语言中编写测试脚本。

Calabash：全方位测试利器
一款适用于iOS和Android平台的跨平台应用测试框架，支持Cucumber，开源且免费，隶属于Xamarin公司。通过Calabash，开发者可以对应用进行多方位测试，比如截屏、手势识别、实际功能代码等。
二、iOS应用开发移动应用测试框架
KIF：专为iOS设计的移动应用测试框架
全称Keep It Functional，来自Square，是一款专为iOS设计的移动应用测试框架。由于KIF是使用Objective-C语言编写的，因此，对于iOS开发者而言，用起来要更得心应手，可以称得上是一款非常值得收藏的iOS测试利器。
Gitorious：截屏+Python脚本，测试细致入微
基于Git版本控制系统的Web项目托管平台，使用Ruby on Rails开发。而其移动测试框架（MTF）也是深受开发者欢迎，Gitorious移动测试框架是一款充分利用Sikuli自动化工具的iOS测试框架。
Frank：模拟用户黑盒测试
一款深受开发者喜爱的iOS应用测试框架，该框架可以模拟用户操作对应用程序进行黑盒测试，并使用Cucumber作为自然语言来编写测试用例。此外，Frank还会对应用测试操作进行记录，以帮助开发者进行测试回顾。
FlipTest：再也不用为决定不同版本的好坏发愁
专为iOS设计的移动应用A/B测试框架，通过它，开发者可以无需重新向App Store提交应用或重构代码，只需添加一行代码，即可直接在iOS应用上进行A/B测试。
Kiwi：专业iOS开发的行为驱动开发（BDD）库接口简单而高效，深受开发者的欢迎，也因此成为了许多开发新手的首选测试平台。和大多数iOS测试框架一样，Kiwi使用Objective-C语言编写，因此对于iOS开发者而言，绝对称得上是最佳测试拍档。
Cedar：BDD风格多环境测试框架
和Kiwi一样，Cedar也是一款BDD风格的Objective-C测试框架。它不仅适用于iOS和OS X代码库，而且在其他环境下也可以使用。
三、Android应用开发移动测试框架
Robolectric：让Android开发从此摆脱模拟器测试的老套路
Android开发者们注意了，这款测试框架一定会让你们兴奋不已，因为它是一款已基本上摆脱了模拟器测试的老套路的速率单元测试框架。Robolectric可以解压Android SDK，还能直接对应用进行测试，从而帮你轻而易举地解决所遇到的任何问题。
AppGrader：Android开发者的意见大师
Gitorious MTF能够利用截屏和Python脚本，进行细致入微的测试，并将测试结果返还给开发者以提高应用质量及修复漏洞。
来自以色列的应用测试服务商uTest推出的一款测试产品。相比其他主流移动应用测试框架，AppGrader可能并不太为开发者所熟知，但它却能够为众多的Android开发者提供非常专业的意见参考。

‘玖’ APP漏洞如何检测，如何检测出app有漏洞

常见的APP漏洞及风险有：界面截取、输入法攻击、协议抓取、静态破解、本地存储数据窃取等。一般来说，检测App从下面这几个方面进行：
1 程序机密性检测：检查代码混淆、dex保护监测、so保护监测、程序签名检测等安全问题。
2 组件安全检测：扫描代码组件的Activity、Broadcast Receiver、service、Content Provider存在的安全漏洞。
3 数据及业务安全检测：检测APP是否存在数据安全问题，用户账号密码泄漏等风险。
参考内容：http://www.ineice.com/