今年開始接觸安全測試炼彪,也只是一些APP安全測試的皮毛吊宋,用以回憶使用過程:
1.利用Fortify SCA工具進(jìn)行靜態(tài)代碼掃描(其中可以掃描出來很多的安全問題面粮,其問題和解決方法在網(wǎng)絡(luò)上都可以查看到)
2.執(zhí)行安全測試用例(當(dāng)然這些測試用例涉及的點(diǎn)如下3禾蚕,通過一些通俗的話寫出來的)
3.安全測試涉及的點(diǎn):
1). 口令杜恰,賬號
2).認(rèn)證
3).會話管理
4).異常處理
5).權(quán)限
6).輸入校驗(yàn)
7).輸出編碼
8).敏感數(shù)據(jù)保護(hù)
9).隱私保護(hù)
10).協(xié)議與接口防護(hù)
11).軟件完整性保護(hù)
12).防范攻擊
13).密碼算法
14).代碼注釋
15).日志管理與審計
4.安全測試所需工具:Drozer薄料、DDMS敞贡、SDK、jdk摄职、Tcpdump誊役、Wireshark获列、notepad++、sourceinsight蛔垢、Fortify击孩、反編譯所需工具、殺毒軟件鹏漆。
5巩梢、具體每種工具對安全測試的使用過程后續(xù)分工具來寫。
