Android手机安全性测试手段

　　罗列一下自己常用的Android手机安全性测试攻击手段： 　　1. fiddler和tcpdump+wireshark抓包分析，模拟修改Http请求参数，检验漏洞 　　2. 修改AndroidManifest.xml文件中debuggable属性，打开loGCat输出，查看是否有敏感信息输出 　　3. 将apk包转换成jar包，反编译出源码，查看其是否混淆，或者能否通过代码看出主要产品逻辑 　　4. 反编译apk，结合反编译出的源码修改smali文件，输出敏感信息，或者更改代码逻辑 　　5. 对于一些jni调用so文件的apk包，可以结合反编译的源码自己尝试调用so文件方法，ida查看修改so文件逻辑 　　6. Root 手机进入data/data目录下查看缓存文件，数据库中是否保存了敏感信息 　　7. 对于有些app调用.net dll可以尝试Reflector反编译源码，弄清产品逻辑，同java反编译一样，而大多数C#代码混淆的意识比java代码混淆意识要弱很多 　　8. 对于开放平台相关的app，可以借助以上手段获取开放平台接入的参数，结合平台文档，以完成攻击操作