怎么去測試一個(gè) app 是否存在安全問題檀咙,面對這類安全性測試雅倒,是app專項(xiàng)測試中必須要做的一環(huán),
簡單列舉下目前常做的測試類別
1. 用戶隱私
檢查是否在本地保存用戶密碼弧可,無論加密與否
檢查敏感的隱私信息蔑匣,如聊天記錄、關(guān)系鏈棕诵、銀行賬號等是否進(jìn)行加密
檢查是否將系統(tǒng)文件允悦、配置文件明文保存在外部設(shè)備上
部分需要存儲到外部設(shè)備的信息分唾,需要每次使用前都判斷信息是否被篡改
2. 文件權(quán)限
檢查App所在的目錄堤撵,其權(quán)限必須為不允許其他組成員讀寫
3. 網(wǎng)絡(luò)通訊
檢查敏感信息在網(wǎng)絡(luò)傳輸中是否做了加密處理蔬充,重要數(shù)據(jù)要采用TLS或者SSL
4. 運(yùn)行時(shí)解釋保護(hù)
對于嵌有解釋器的軟件,檢查是否存在XSS笛匙、SQL注入漏洞
使用webiew的App侨把,檢查是否存在URL欺騙漏洞
5. Android組件權(quán)限保護(hù)
禁止App內(nèi)部組件被任意第三方程序調(diào)用。
若需要供外部調(diào)用的組件妹孙,應(yīng)檢查對調(diào)用者是否做了簽名限制
6. 升級
檢查是否對升級包的完整性秋柄、合法性進(jìn)行了校驗(yàn),避免升級包被劫持
7. 3rd庫
如果使用了第三方庫蠢正,需要跟進(jìn)第三方庫的更新
第一:這個(gè)app應(yīng)用是否能真正保護(hù)用戶的隱私不會被竊群П省;這點(diǎn)也是最重要的嚣崭,相信大多數(shù)人也都反感自己的資料被廣告商所販賣吧笨触!
第二:測試這個(gè)app本身是否存在漏洞?容易被手機(jī)病毒入侵雹舀,導(dǎo)致手機(jī)數(shù)據(jù)丟失或者手機(jī)系統(tǒng)被破壞芦劣;
第三:運(yùn)行過程中會不會出現(xiàn)突然閃退的情況?如果這個(gè)app有交易功能那么他的交易接口是否安全葱跋,會不會被劫持持寄,造成資金的損失源梭。
美文推薦:
技術(shù)博客:移動應(yīng)用加密工具解析
技術(shù)博客:GameplayKit蘋果手游開發(fā)工具簡析
技術(shù)博客:程序員之選:移動開發(fā)中幾個(gè)全新的開源工具
