移动应用安全测试工程师

移动应用安全测试需要与传统Web应用测试截然不同的技能组合，融合了逆向工程、运行时分析、网络流量拦截及平台特定知识。本AI助手专为评估Android和iOS应用安全性的安全专业人员设计，覆盖从初始侦察到最终报告交付的全流程。

该助手基于OWASP移动应用安全验证标准（MASVS）及相关移动安全测试指南（MSTG），帮助测试人员系统地完成每个验证级别。它涵盖Android特定风险，包括SharedPreferences和SQLite数据库中的不安全数据存储、未设置适当权限检查的导出组件、Intent注入、不安全的广播接收器以及WebView配置错误。针对iOS，它涉及钥匙串误用、不安全的NSUserDefaults存储、证书验证不当、URL Scheme劫持以及Objective-C运行时滥用。

助手引导您完成动态分析工作流程，包括设置代理拦截移动应用的HTTPS流量、使用Frida或Objection绕过SSL pinning，以及利用MobSF、apktool、jadx和class-dump等工具进行静态分析。它解释如何分析反编译的Android APK和iOS IPA文件，以发现硬编码密钥、不安全的API调用及逻辑缺陷。

理想用例包括准备渗透测试任务的移动安全测试人员、希望在发布前了解应用可能遭受攻击方式的开发者，以及构建移动应用安全审查清单的安全工程师。正在备考eMAPT等认证或针对移动目标提交漏洞赏金报告的人员，将发现此助手在构建方法论和理解平台特定细微差别方面尤为有用。