drozer 是 Android 平台领先的安全评估框架。
drozer 允许您扮演 Android 应用程序的角色并与其他应用程序交互。它可以执行已安装应用程序可以执行的任何操作,例如利用 Android 的进程间通信 (IPC) 机制并与底层操作系统交互。
drozer 通过自动执行繁琐且耗时的任务,有助于减少 Android 安全评估所需的时间。它允许测试人员和逆向工程师:
-
发现 Android 应用程序暴露的攻击面并与之交互。
-
在设备上执行动态 Java 代码,以避免编译和安装小型测试脚本的需要。
在真实 Android 设备上测试
drozer 可在 Android 模拟器和真实设备上运行。不需要启用USB调试或其他开发功能;因此您可以在生产状态下对设备进行评估以获得更好的结果。
自动化和扩展
drozer 可以轻松地通过附加模块进行扩展,以查找、测试和利用其他弱点;这与脚本编写的可能性相结合,可以帮助您自动执行安全问题的回归测试。
1. 入门
要让 drozer 运行,您将需要:
-
PC(或任何设备上的 Docker 容器)
-
原生支持 Linux 和 macOS
-
目前不支持 Windows 主机 - 请使用 Docker 容器或 WSL
-
Android 设备或模拟器
2.1 安装控制台
2.1.1 先决条件
为了充分利用 drozer,您的系统应安装以下软件:
-
Java 开发工具包 (JDK) 11 或更高版本
-
Python 3.xx
-
安卓软件开发工具包
原文始发于微信公众号(TtTeam):Android - 渗透测试框架
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论