《移动APP测试之安全性测试策略分析》由会员分享,可在线阅读,更多相关《移动APP测试之安全性测试策略分析(2页珍藏版)》请在金锄头文库上搜索。
1、移动 APP 测试之安全性测试策略分析随着互联网发展,APP 应用的盛行,最近了解到手机 APP 相关的安全性测试, 以 webview 为主体的 app,站在入侵或者攻击的角度来讲,安全隐患在于 http 抓包,逆向工程。目前大部分 app 还是走的 http 或者 https,所以防 http 抓包泄露用户信息以及 系统自身漏洞是必要的,通过抓包当你查看一个陌生用户信息时,一些手机号, qq 等信息页面上应该不显示的,但这些信息不显示并不代表服务器没有下发, 好多都是客户端限制的,通过抓包,完全可以查看到陌生用户的 app。再如好 多发帖,push 消息的应用,如果没有消息有效性的验证,抓
2、到包之后篡改消息, 服务器一点反应都没,这就会留有极大的隐患。逆向工程对于 Android 就很好 理解了,反编译,修改或者插入自己的代码,以达到相应目的。安全性测试策略1. 用户隐私 检查是否在本地保存用户密码,无论加密与否 检查敏感的隐私信息,如聊天记录、关系链、银行账号等是否进行加密 检查是否将系统文件、配置文件明文保存在外部设备上 部分需要存储到外部设备的信息,需要每次使用前都判断信息是否被篡改本地存储数据可以查看看应用的 SharedPreferences 文件和数据库文件中的数据 (root 后在应用安装目录内,或者查看外部存储中有没有写入敏感数据) 。2. 文件权限 检查 App
3、 所在的目录,其权限必须为不允许其他组成员读写3. 网络传输 检查敏感信息在网络传输中是否做了加密处理,重要数据要采用 TLS 或者 SSLhttp 请求默认是明文的,如果安全验证和加密机制很烂,通过网络嗅探扫描, 很容易被猜到和模拟请求,也可能被注入。4. 运行时解释保护 对于嵌有解释器的软件,检查是否存在 XSS、SQL 注入漏洞 使用 webiew 的 App,检查是否存在 URL 欺骗漏洞5. Android 组件权限保护 禁止 App 内部组件被任意第三方程序调用。 若需要供外部调用的组件,应检查对调用者是否做了签名限制6. 升级检查是否对升级包的完整性、合法性进行了校验,避免升级包被劫持7.应用自身安全性 对某个应用进行逆向,看反编译后的代码有没有敏感信息暴露。反编译后对代 码修改,插入劫持代码后重新打包,如果存在这种漏洞,对用户和开发者都构 成极大的威胁。要求对应用进行加密,防止静态破解,盗取源码,然后嵌入恶意病毒、广告等 行为再利用工具打包、签名,形成二次打包应用8.界面截取通过 adb shell 命令或第三方软件获取 root 权限,在手机界面截取用户填写的隐 私信息,随后进行恶意行为。对移动应用中,安全性测试占据 App 测试的比重越来越重要,用户信息等的安 全性也是决定着一款应用是否能成功,就更不用说手机银行,金融证劵类 App 对安全的高度重视。
