51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 6315|回复: 16
打印 上一主题 下一主题

app安全测试

[复制链接]
  • TA的每日心情

    2015-6-12 14:57
  • 签到天数: 4 天

    连续签到: 1 天

    [LV.2]测试排长

    跳转到指定楼层
    1#
    发表于 2015-6-6 11:32:55 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    小编最近转做app安全测试,由于以前没有没做过安全测试,所以自己上网就找了很多这方面的资料,无意间发现了一个叫爱内测很有意思!这个网站只需要自己上传一个安装包就能帮你从应用安全、源码安全、数据安全三大方面发现app安全漏洞近100多项,还能准确的定位到出现漏洞的代码并给出相应的修复建议,下面小编就为大家简单的介绍几项吧:
    一、应用安全
    1、业务安全中:
    (1)用户登录:检测用户登录过程中对否需要输入用户名和密码、是否有限制密码次数、支付密码是否与账户使用同一键盘
    (2)密码管理:是否加密传输密码,密码是否本地储存,是否含有敏感信息的输入等
    (3)超时设置:检测是否有会话超时机制,超时后重鉴别
    (4)异常处理:检测在软件操作异常时是否有异常处理机制,错误提示是否泄漏敏感信息
    2、应用增强:
    (1)权限管理:是否存在权限滥用问题
    (2)输入检查:是否对输入内容过滤
    (3)键盘记录:是否存在键盘记录隐患等
    (4)界面劫持:用户在进行敏感信息输入时是否存在界面劫持和截屏问题
    3、发布规范:
    (1)测试数据移除:检测发布应用中是否包含不应该包含的测试代码
    (2)日志信息移除:检测是否包含不应该包含的日志信息
    4、应用管理:
    (1)下载安装:检测是否有安全的应用下载渠道、检测各市场是否二次打包的恶意应用
    (2)应用卸载:检测应用是否清除完全、是否有残留数据
    (3)版本升级:是否能在线检测升级、升级是否会被第三方劫持、欺骗
    5、组件安全:
    Activity是否被权限攻击是否被劫持;BroadcastReceiver是否被监听、劫持;Service是否被权限攻击;Content Provider 是否会被权限攻击;Intent安全;Webview安全等

    二、源码安全
    1、程序完整性:
    程序签名、完整性校验
    2、程序机密性:
    代码混淆、Dex保护、So保护、资源文件保护内存保护、重要逻辑安全
    硬编码
    三、数据安全
    1、数据输入、输出:
    (1)敏感数据显示:检测敏感数据(如用户密码)输入时软件界面是否为明文显示。
    (2)输入监听:用户在进行输入操作是,输入的数据是否会被其他终端或其他程序非法授权获取
    (3)调试信息:检测应用软件与服务器通信报文被第三方嗅探后是否可以进行重放攻击
    2、数据存储
    (1)存储数据类别:检测是否本地保存手机号、密码等敏感信息,程序应尽可能少的存储用户的敏感数据。
    (2)数据访问控制
    (3)敏感数据加密:检测是否对口令、密码、银行卡号等已本地保存的敏感信息进行加密处理,加密强度是否达到要求。使用SecureRandom 时使用方法setSeed 设置种子将会造成生成的随机数不随机
    (4)内存数据安全
    3、数据传输
    (1)会话安全:检测程序session的安全性
    (2)远程数据通信加密:检测程序与服务器通信的免肝数据是否进行加密处理
    (3)本地数据通信安全:检测程序与本地其他应用进程间的数据传输是否采取加密处理和权限控制
    (4)数据传输完整性
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏11
    回复

    使用道具 举报

  • TA的每日心情

    2015-6-12 14:57
  • 签到天数: 4 天

    连续签到: 1 天

    [LV.2]测试排长

    2#
     楼主| 发表于 2015-6-6 11:35:31 | 只看该作者
    写了半天自己顶一个先
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2015-11-22 11:20
  • 签到天数: 78 天

    连续签到: 1 天

    [LV.6]测试旅长

    3#
    发表于 2015-6-6 21:48:56 | 只看该作者
    好东西支持一个
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-9-22 09:00
  • 签到天数: 47 天

    连续签到: 1 天

    [LV.5]测试团长

    4#
    发表于 2015-6-7 11:03:51 | 只看该作者
    嘿嘿,看着条理清晰,文字功底不错
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    5#
    发表于 2015-6-8 10:49:15 | 只看该作者
    爱内测不支持ios的app吗
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2015-6-12 14:57
  • 签到天数: 4 天

    连续签到: 1 天

    [LV.2]测试排长

    6#
     楼主| 发表于 2015-6-10 16:49:03 | 只看该作者
    耳朵里的阳光 发表于 2015-6-8 10:49
    爱内测不支持ios的app吗

    貌似不支持
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2024-11-8 12:09
  • 签到天数: 547 天

    连续签到: 1 天

    [LV.9]测试副司令

    7#
    发表于 2015-6-17 09:27:23 | 只看该作者
    写的不错,赞个~~
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2016-8-23 15:39
  • 签到天数: 44 天

    连续签到: 1 天

    [LV.5]测试团长

    10#
    发表于 2015-11-18 15:11:15 | 只看该作者
    学习了!谢谢分享
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    11#
    发表于 2015-11-21 11:37:30 | 只看该作者
    不错呀,赞一个
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2015-12-6 10:36
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    12#
    发表于 2015-12-6 10:50:54 | 只看该作者
    lpy 发表于 2015-6-6 11:35
    写了半天自己顶一个先

    回复 支持 反对

    使用道具 举报

    该用户从未签到

    13#
    发表于 2016-4-6 18:15:57 | 只看该作者
    谢谢分享,这个网站测试收费吗?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2015-7-15 16:38
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    14#
    发表于 2016-4-29 17:26:57 | 只看该作者
    同问,这个软件收费吗?
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    15#
    发表于 2017-2-6 18:44:31 | 只看该作者
    学习了,回去找找怎么测
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-9-28 09:35
  • 签到天数: 3 天

    连续签到: 3 天

    [LV.2]测试排长

    16#
    发表于 2017-2-22 09:55:07 | 只看该作者
    不错啊,赞一个
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    17#
    发表于 2017-3-9 11:06:38 | 只看该作者
    楼主,爱内测的官网地址有吗? 在百度上搜索的都不是的
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-26 07:40 , Processed in 0.072710 second(s), 22 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表