随着Android智能手机的普及,其系统安全问题越来越受到人们的重视。普通用户日常使用Android手机时问长,系统内通常会储存重要文件和隐私信息。相对于传统桌面设备,用户行为对系统安全提出了更高的要求。与其他安全检测手段相比,模拟黑客对Android设备的攻击行为的渗透测试具有很大的优势。本文研究了Android系统的架构和安全机制、Android应用程序安全性常见问题、通用渗透测试的过程和方法,得到了基于OVAL的漏洞检测模型。以此为基础,设计并实现了基于Android系统的渗透测试综合平台。首先,在对Android系统架构和安全机制进行深入分析的基础上,本文概要地阐述了Android应用程序存在的常见安全性问题。通过研究通用渗透测试技术,得到了Android渗透测试过程。开放式漏洞评估语言OVAL通常用于传统桌面设备的漏洞检测领域,本文创造性地将其运用于Android系统的漏洞分析上,得到了基于OVAL的漏洞检测模型。本文通过深入研究系统的设计目标和功能要求,设计了渗透测试综合平台的整体架构和工作流程,分代理端和服务器端两方面分析了功能模块设计。通过使用开放式漏洞评估语言,满足了系统的精确性、可扩展性要求。详细地阐述了基于Android系统的渗透测试综合平台中漏洞评估子系统、通信模块、攻击模块的设计和实现。漏洞评估子系统基于OVAL,为之后的渗透攻击提供了方向指引。通信模块采用反射交互方式,使大部分的功能都在服务器端进行,减少对Android代理端性能的影响。攻击模块整合了分散的安全工具,解决了无法统一渗透测试的问题。最后,本文对渗透测试综合平台进行了功能和性能测试,结果表明,系统能够对Android系统进行全面、精确的漏洞评估,具有良好的渗透效率和测试完备性。