文档章节

分享:怎么去测试一个 app 是否存在安全问题?

科技创造
 科技创造
发布于 2015/08/31 10:52
字数 652
阅读 339
收藏 2

怎么去测试一个 app 是否存在安全问题,面对这类安全性测试,是app专项测试中必须要做的一环,

简单列举下目前常做的测试类别

1. 用户隐私

  • 检查是否在本地保存用户密码,无论加密与否
  • 检查敏感的隐私信息,如聊天记录、关系链、银行账号等是否进行加密
  • 检查是否将系统文件、配置文件明文保存在外部设备上
  • 部分需要存储到外部设备的信息,需要每次使用前都判断信息是否被篡改

2. 文件权限

  • 检查App所在的目录,其权限必须为不允许其他组成员读写

3. 网络通讯

  • 检查敏感信息在网络传输中是否做了加密处理,重要数据要采用TLS或者SSL

4. 运行时解释保护

  • 对于嵌有解释器的软件,检查是否存在XSS、SQL注入漏洞
  • 使用webiew的App,检查是否存在URL欺骗漏洞

5. Android组件权限保护

  • 禁止App内部组件被任意第三方程序调用。
  • 若需要供外部调用的组件,应检查对调用者是否做了签名限制

6. 升级

  • 检查是否对升级包的完整性、合法性进行了校验,避免升级包被劫持

7. 3rd库

  • 如果使用了第三方库,需要跟进第三方库的更新

第一:这个app应用是否能真正保护用户的隐私不会被窃取;这点也是最重要的,相信大多数人也都反感自己的资料被广告商所贩卖吧!
第二:测试这个app本身是否存在漏洞?容易被手机病毒入侵,导致手机数据丢失或者手机系统被破坏;
第三:运行过程中会不会出现突然闪退的情况?如果这个app有交易功能那么他的交易接口是否安全,会不会被劫持,造成资金的损失。

美文推荐:

 

© 著作权归作者所有

科技创造
粉丝 37
博文 199
码字总数 174505
作品 0
徐汇
程序员
私信 提问
加载中

评论(1)

科技创造
科技创造 博主
If you like programming,just do it,you will be OK!
APP漏洞检测 验证码被重复利用漏洞分析与汇总

在对客户网站以及APP进行安全检测的同时,我们SINE安全对验证码功能方面存在的安全问题,以及验证码漏洞检测有着十多年的经验,在整个APP,网站的安全方面,验证码又分2种,第一个是登陆的身...

网站安全
08/27
0
0
(最新)移动App应用安全漏洞分析报告 !

  漏洞扫描方式主要分为静态和动态,静态扫描的漏洞类型主要包含SQL注入风险、webview系列、文件模式配置错误、https不校验证书、database配置错误等。动态扫描的漏洞类型主要包含拒绝服务...

科技创造
2014/10/18
154
0
什么是网站系统安全的渗透检测?

建设网站系统需要做的工作很多,比如架构,模板的确认,还有各个安全问题的考虑,比如漏洞,木马等问题的渗透测试。而对于渗透这个词很多人都没怎么接触过。相信最近追热播亲爱的,热爱的这部...

墨者安全
07/22
0
0
网站安全检测之用户密码找回网站漏洞的安全分析与利用

我们SINE安全在对网站,以及APP端进行网站安全检测的时候发现很多公司网站以及业务平台,APP存在着一些逻辑上的网站漏洞,有些简简单单的短信验证码可能就会给整个网站带来很大的经济损失,很...

网站安全者
2018/08/20
0
0
个人云平台--Sandstorm

Sandstorm 是国外一款开源的项目,是由我们熟知的开发Protocol Buffers的前谷歌工程师 Kenton Varda 创立的,旨在基本改变现有的网络应用方式,目前已被数百个技术公司使用。后续又发展了Cap...

叶秀兰
2015/09/28
10.2K
3

没有更多内容

加载失败,请刷新页面

加载更多

交换两数(函数)

#define _CRT_SECURE_NO_WARNINGS #include <stdio.h> #include <stdlib.h> void Exchange(int* x, int* y){ int tmp = 0; tmp = *x; *x = *y; *y = tmp; } int main(){ int a; int b; scanf......

Lxxxxx256
57分钟前
3
0
给 K8s API “做减法”:阿里巴巴云原生应用管理的挑战和实践

作者 | 孙健波(天元) 阿里巴巴技术专家 本文整理自 11 月 21 日社群分享,每月 2 场高质量分享,点击加入社群。 早在 2011 年,阿里巴巴内部便开始了应用容器化,当时最开始是基于 LXC 技术...

阿里巴巴云原生
今天
7
0
数据平面

3.1数据平面的任务 解析数据包头 转发数据包到某些端口 通过查询由控制平面所生成的转发表 传统网络数据平面 数据包--输入端口---拆封和解析,转发策略匹配,转发调度---输出端口(协议相关,...

Firefly-
昨天
6
0
如何高效的阅读uni-app框架?(建议收藏)

作者 | Jeskson 来源 | 达达前端小酒馆 uni-app的框架,配置:page.json,manifest.json,package.json,vue.config.js。脚本,应用程序,main.js。日志打印,定时器,生命周期,页面,页面通...

达达前端小酒馆
昨天
8
0
实现原理专题--存储器的实现(三)

计算机实现原理专题--存储器的实现(二)中描述了一种电平触发器,但是某些应用需要在保持位从0到1变化的过程中对数据端进行保存。这种触发器叫边沿触发器。 一开始Q为0,时钟信号为0。当数据...

FAT_mt
昨天
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部