• UID5201
  • 登录2017-10-18
  • 粉丝2
  • 关注0
  • 发帖57
  • 主页
  • 金币285枚
Ifyou 发布于2017-07-04 18:17
0/236

Android app安全性能测试

楼层直达


1.安装包测试
 
1)能否反编译代码(源代码泄露问题):
 
开发:对代码进行混淆;测试:使用反编译工具进行查看源代码,是否进行代码混淆,是否包括了显而易见的敏感信息
 
2)安装包是否签名(iosapp有正式的发布证书签名,不必考虑):需要在发布前验证一下签名使用的key是否正确,以防被恶意第三方应用覆盖安装
 
3)完整性校验:检查文件的md5
 
4)权限设置检查(增加新权限需要进行评估):android检查manifest文件读取应用所需的全部权限
 
2.敏感信息测试
 
1)数据库是否存储敏感信息:需要对各个数据库字段含义进行了解,并评估其中可能的安全问题;在跑完一个包含数据库操作的测试用例,我们可直接查看数据库里的数据,观察是否有敏感信息需要在用户进行注销操作后删除,若师是cookie类数据,建议设置合理的过期时间。
 
2)日志中是否存在敏感信息:若发布版本中包含日志应用,在测试需要关注日志中是否包含敏感信息。
 
3)配置文件是否存在敏感信息(与日志相似)
 
3.软键盘劫持:金融app登陆界面的用户名密码输入框,看是否输入支持第三方输入法。对于非常敏感的输入,一般建议使用应用内的软键盘或至少提供用户这一选项;
 
4.账户安全(用户账户的安全)
 
1)密码是否明文存储:在后台数据库:在评审和测试中需要关注密码的存储
 
2)密码传输是否加密:需要查看密码是否被明文传输
 
3)账户锁定策略:对于用户输入错误密码次数过多的情况,一些应用将会临时锁定;后台对每个账户做次数限制可能会引起所有账号都被策略锁定。
 
4)同时会话:应用对同时会话会有通知功能;
 
5)注销机制:客户端注销后,需要验证任何的来自该用户身份验证的接口调用都不能调用成功
 
5.数据通信安全
 
1)关键数据是否散列或加密:敏感信息在传输前需要进行散列或加密。
 
2)关键连接是否使用安全通信:在获知接口设计后需要评估其中内容是否包含敏感信息。
 
3)是否对数字证书合法性进行验证:fiddle工具模拟中间人攻击方法
 
4)是否验证数据合法性
 
开发:对数据进行数字签名并在客户端进行相关校验
 
测试:可模拟后台返回进行相关测试工作
 
5)组件安全测试(android被外部应用恶意调用)测试:drozer工具
 
6.环境相关测试
 
1)干扰测试:a收到电话  b收到短信(考虑通知栏消息是否覆盖掉界面上信息)  c收到通知栏消息   d无电低电量提示框弹出  e第三方安全软件告警框 弹出
 
2)权限测试:开发在提测时提供一个需要的权限列表
 
3)边界情况:a可用存储空间过少   b没有SD/SD   c飞行模式    d系统时间有误    e第三方依赖
 
 
TestBird

0人打赏
您需要登录后才可以回帖
发表回复
极贡献
技术问答
专题荟萃
程序人生
视觉设计
Android开发
iOS开发
编程语言
前端开发
后端开发
服务器架构
软件测试
运维方案
创业路上



最热文章墙

  • 79416/378   【精品推荐】200多种Android动画效果的强悍框架,太全了,不看这个,再有动画的问题,不理你了^@^

  • 45307/191   情人节福利,程序员表白的正确姿势:改几行代码就变成自己的表白了

  • 44993/0   Python爬虫:常用浏览器的useragent

  • 41475/260   【精品推荐】Android版产品级的音乐播放器源码,功能太强大了,最好的产品原型有木有?

  • 38687/145   省时省力的Android组件群来了,非常棒的原型参考

  • 30063/142   2016抢红包软件及源码

  • 29299/2   超全!整理常用的iOS第三方资源

  • 29290/71   原创表白APP,以程序员的姿势备战新年后的7夕,持续完善中!

  • 24355/160   Android版类似UC浏览器:非常赞,产品级的源码

  • 22870/30   麻省理工的一帮疯子,真的实现了随意操控万物!(绝对黑科技)

  • 22568/25   Android工程师面试题大全

  • 22494/27   2016程序员跳槽全攻略

  • 21954/9   GitHub上排名前50的iOS项目:总有一款你用得着

  • 20912/20   码魂:程序员的牛B漫画

  • 19065/85   Android小而全的博客源码:非常适合全面掌握开发技巧

  • 19055/73   【持续更新中】Android福利贴(二):资料源码大放送

  • 19019/10   2016年最全的Android面试考题+答案 精编版

  • 18922/42   一个绚丽的loading动效分析与实现!

  • 18765/3   吐槽那些程序员的搞笑牛逼注释

  • 17642/45   惊艳的App引导页:背景图片切换加各个页面动画效果

  • 17633/1   iOS 动画总结

  • 17511/82   仿京东商城客户端Android最新版,不错的原型和学习资料

  • 17472/104   Android带弹幕的视频播放器源码,来自大名鼎鼎的Bilibili弹幕网站

  • 17150/23   个人收集的Android 各类功能源代码

  • 16692/5   新一代Android渠道打包工具:1000个渠道包只需要5秒

  • 16619/21   Android福利第三波【Android电子书】

  • 16438/53   基于瀑布流的美女图片浏览App,有注释的源代码

  • 16419/81   【精品推荐】类似360安全卫士安Android源码:非常赞的产品原型

  • 16406/10   女程序员的梦,众网友的神回复

  • 16367/0   iOS中文版资源库,非常全

  • 16342/17   用JavaScript 来开发iOS和Android 原生应用:React Native开源框架中文版来啦

  • 16096/11   年会上现场review代码是怎么样的体验!

  • 16042/23   珍藏多年的素材,灵感搜寻网站

  • 15525/18   65条最常用正则表达式,你要的都在这里了

  • 14853/15   基于Android支付宝支付设计和开发方案

  • 14259/11   有木有这样一张酷图帮你集齐所有git命令超实用

  • 14190/17   什么是真正的黑客:收获12200+Stars,人气远超微软开源VS

  • 13970/46   在线音乐播放器完整版(商用级的源码):非常赞,可听免费高品质专辑

  • 13719/0   GitHub iOS 库和框架Top100 

  • 13675/61   【技巧一】搭配Android Studio,如何实现App远程真机debug?

  • 13570/7   用程序员的姿势抢过年的火车票

  • 13523/7   一张图搞定iOS学习路线,非常全面

  • 13152/10   成为Java顶尖程序员 ,看这11本书就够了

  • 13110/10   微信支付终于成功了(安卓,iOS),在此分享

  • 12999/18   一张图搞定Android学习路线,非常全面

  • 12811/29   【持续更新中】Android福利贴(一):资料源码

  • 12747/3   基于Node.js的强大爬虫,能直接发布抓取的文章哦

  • 12491/4   46 个非常有用的 PHP 代码片段

  • 12014/3   即时通信第三方库

  • 11452/8   流媒体视频直播方案

  • 11385/18   八个最优秀的Android Studio插件

  • 11256/9   B站建开源工作组:APP想支持炫酷弹幕的看过来

  • 11048/9   烧了5亿美金,这家神秘的公司即将颠覆人类未来!

  • 11033/2   【精品推荐】高质量PHP代码的50个实用技巧:非常值得收藏

  • 10952/10   中国黑客的隐秘江湖:攻守对立,顶尖高手月入千万美元

  • 10228/6   开箱即用!Android四款系统架构工具

  • 10017/10   十大技巧快速提升Android应用开发性能

  • 9975/3   10款GitHub上最火爆的国产开源项目——可以媲美西半球

  • 9922/1   Android性能优化视频,文档以及工具

  • 9810/0   基于node-webkit跨平台应用案例集之(一)

  • 返回顶部