`

怎么看待移动APP的安全测试

 
阅读更多


随着互联网发展,APP应用的盛行,最近了解到手机APP相关的安全性测试。目前手机App测试还是以发现bug为主,主要测试流程就是服务器接口测试,客户端功能性覆盖,以及自动化配合的性能,适配,压测等,对于App安全性测试貌似没有系统全面统一的标准和流程,其实安全性bug也可以是bug的一种,只不过更加隐秘,难以发现,尤其针对于手机App。

特别是以webview为主体的app,先简单说说,站在入侵或者攻击的角度来讲,安全隐患在于http抓包,逆向工程。
  
目前大部分app还是走的http或者https,所以防http抓包泄露用户信息以及系统自身漏洞是必要的,通过抓包当你查看一个陌生用户信息时,一些手机号,qq等信息页面上应该不显示的,但这些信息不显示并不代表服务器没有下发,好多都是客户端限制的,通过抓包,完全可以查看到陌生用户的app。再如好多发帖,push消息的应用,如果没有消息有效性的验证,抓到包之后篡改消息,服务器一点反应都没,这就会留有极大的隐患。逆向工程对于Android就很好理解了,反编译,修改或者插入自己的代码,以达到相应目的。
  
那么安全性测试策略是怎样的呢?

对用户隐私,检查是否在本地保存用户密码,无论加密与否;检查敏感的隐私信息,如聊天记录、关系链、银行账号等是否进行加密;检查是否将系统文件、配置文件明文保存在外部设备上;部分需要存储到外部设备的信息,需要每次使用前都判断信息是否被篡改。

对文件权限,检查App所在的目录,其权限必须为不允许其他组成员读写。

对网络传输,检查敏感信息在网络传输中是否做了加密处理,重要数据要采用TLS或者SSL。http请求默认是明文的,如果安全验证和加密机制很烂,通过网络嗅探扫描,很容易被猜到和模拟请求,也可能被注入。
  
对运行时解释保护,对于嵌有解释器的软件,检查是否存在XSS、SQL注入漏洞;使用webiew的App,检查是否存在URL欺骗漏洞

对Android组件权限保护,禁止App内部组件被任意第三方程序调用。若需要供外部调用的组件,应检查对调用者是否做了签名限制

对迭代升级,检查是否对升级包的完整性、合法性进行了校验,避免升级包被劫持。

对界面截取,通过adb shell命令或第三方软件获取root权限,在手机界面截取用户填写的隐私信息,随后进行恶意行为。

安全测试是目前移动应用的App测试中很重要的一项,特别是一些对用户账户保密性较高的,在手游测试,金融类App的测试中,占据很大比例。
分享到:
评论

相关推荐

    移动APP安全测试总结.doc

    移动APP安全测试是确保应用程序在面临各种安全威胁时能有效防护的重要环节。本文将深入探讨移动APP的安全风险、反编译保护、二次打包防范以及组件安全等关键知识点。 首先,移动APP安全风险主要分为三个层面:...

    移动App测试中的最佳做法

    移动 App 测试是一个复杂的过程,涉及到多个方面,包括功能测试、性能测试、安全测试等。本文将从移动 App 测试的角度,讨论移动 App 测试中的最佳做法,并提供了一些建议和经验。 一、功能测试 功能测试是移动 ...

    移动APP测试22条军规

    移动APP测试22条军规的知识点涵盖了移动应用程序测试的主要方面,包括测试环境的搭建、测试类型与分类、网络连接的测试、多任务处理和意外情况的模拟、用户界面与体验的测试、通知和消息展示的设计、操作系统特性的...

    鸿蒙系统下APP安全测试方案_v1.1.1.docx

    ### 鸿蒙系统下APP安全测试方案 #### 1. 引言 ##### 1.1 测试目的 在当前数字化时代,移动应用程序的安全性成为企业和用户关注的重点。随着鸿蒙系统的推出和发展,针对其上的应用程序进行严格的安全测试变得尤为...

    适用于移动APP测试报告模板

    安全测试是移动APP测试报告的一个重要部分,它记录了移动APP的安全测试结果。安全测试包括软件权限、安装与卸载安全性、数据安全性和通讯安全性等内容。 知识点: * 软件权限:软件权限包括移动APP的安装权限、...

    移动APP测试方法综述.pdf

    系统测试主要涉及到移动APP的系统架构、系统性能、系统安全等方面的测试。系统测试的目的是为了确保移动APP的系统架构合理、系统性能稳定、系统安全可靠。 基础模块测试是移动APP测试的第三个方面。基础模块测试...

    移动app测试的22条军规

    3. **Android Developer Tools: DDMS**:通过DDMS等工具进行Android应用的安全测试。 4. **SQLite数据库**:确保应用内部的SQLite数据库安全性。 5. **App请求中用户信息**:保护用户隐私,避免敏感信息被不当获取。...

    电子阅读版:大话移动APP测试(Android与iOS平台的测试应用指南)

    本书全面覆盖了移动端的测试领域,包括平台特性、设备兼容性、功能测试、性能测试、安全测试等多个重要方面。 在移动应用测试中,平台特性是一个关键知识点。Android和iOS作为两大主流移动操作系统,它们的底层架构...

    移动APP测试大全精编资料.pdf

    移动APP测试大全精编资料.pdf移动APP测试大全精编资料.pdf移动APP测试大全精编资料.pdf移动APP测试大全精编资料.pdf移动APP测试大全精编资料.pdf移动APP测试大全精编资料.pdf移动APP测试大全精编资料.pdf移动APP测试...

    移动互联网App测试作业流程及测试点.docx

    安全测试需要检查移动互联网App的各种安全问题,确保移动互联网App的安全可靠性。 安装和卸载安全性是移动互联网App测试的重要组成部分,包括应用程序安装、卸载、数字签名、JAD文件和JAR包等。安装和卸载安全性...

    移动互联网App测试流程及测试点(2014版).docx

    4. **安全测试**: - **软件权限**:检查App对用户数据的访问权限,防止扣费风险、隐私泄露,确保输入有效性校验、认证、授权、敏感数据存储和加密的正确性。 - **安装与卸载安全性**:验证安装卸载过程的安全性,...

    移动APP安全漏洞分析技术与方法

    因此,移动App安全漏洞分析技术与方法显得尤为重要。 在移动应用安全背景介绍中,可以了解到,2008年谷歌发布安卓第一代产品,2007年苹果发布iOS1。自此之后,移动应用的漏洞问题受到了越来越多的关注。根据OWASP ...

    移动APP测试用例的模板

    测试用例(Test Case)是指对一项特定的软件产品进行测试任务的描述,体现测试方案、方法、技术和策略。其内容包括测试目标、测试环境、输入数据、测试步骤、预期结果、...移动APP测试用例的模板是针对移动APP测试的用例

    2015年移动APP安全性或成为APP核心竞争力

    2015年移动应用(APP)安全性的提升被提到了前所未有的高度,有可能成为移动APP市场竞争中的关键因素。以下是这一论断所涉及的知识点: 1. 移动APP市场现状:2015年之前,移动APP市场已由一些巨头企业如百度、阿里...

    移动APP测试经验分享

    移动APP测试是软件开发过程中的重要环节,它确保应用程序在各种设备、操作系统版本以及网络环境下的功能、性能、用户体验和安全性。在这个“移动APP测试经验分享”文档中,我们将深入探讨移动应用测试的关键方面,...

    大话移动APP测试

    《大话移动APP测试:Android与 iOS应用测试指南》内容包含:移动互联网测试人员的面试,用户体验测试,功能测试,常用测试工具,常用框架,APP测试案例,以及更多的从业相关思维、手段等非技术内容。

    基于移动平台的APP软件测试.pdf

    3. **安全性与隐私保护**:移动APP常常涉及用户数据,因此必须确保数据的安全性和用户隐私。测试过程中,应包含对数据加密、权限管理等方面的测试,以防止数据泄露。 4. **性能测试**:移动设备资源有限,性能测试...

Global site tag (gtag.js) - Google Analytics