鹏博科技5年专注手机APP软件开发,微信公众号开发,国内领先的APP定制开发公司,您身边最实在的软件服务商
当前位置: 手机app开发公司 > APP常见问题
 
 
QQ在线咨询
售前咨询热线
400-0110-567
售后咨询热线
15124669933

哈尔滨app测试安全问题,听测试专家说

16 2017-02
编辑:鹏博科技 2017-02-16 08:46:25   来源:哈尔滨APP开发公司    阅读:
哈尔滨app测试安全问题?App 层面上,什么类型的才算得上是一个安全漏洞?身为测试答一个,这类安全性测试,是app专项测试中必须要做的一环,简单列举下目前常做的测试类别。

哈尔滨APP测试
1. 用户隐私
检查是否在本地保存用户密码,无论加密与否
检查敏感的隐私信息,如聊天记录、关系链、银行账号等是否进行加密检查是否将系统文件、配置文件明文保存在外部设备上部分需要存储到外部设备的信息,需要每次使用前都判断信息是否被篡改。
 
 
2. 文件权限
检查App所在的目录,其权限必须为不允许其他组成员读写

 
3. 网络通讯
检查敏感信息在网络传输中是否做了加密处理,重要数据要采用TLS或者SSL

 
4. 运行时解释保护
对于嵌有解释器的软件,检查是否存在XSS、SQL注入漏洞
使用webiew的App,检查是否存在URL欺骗漏洞

 
5. Android组件权限保护
禁止App内部组件被任意第三方程序调用。
若需要供外部调用的组件,应检查对调用者是否做了签名限制

 
6. 升级
检查是否对升级包的完整性、合法性进行了校验,避免升级包被劫持
 
7. 3rd库
 
首先,个人认为经过安全测试后的App,并不是说它就是一定是安全的;只能说减少了一些已知的安全问题,降低了它的安全风险,提高了App被调试分析以及破解的门槛。那么一般如何去进行安全测试呢?
 
安全测试一般分为动态功能测试和静态测试。
 
动态功能测试一般从App自身的内容出发,来进行测试内容的整理。
从应用内容出发,例如App内有提供帐号登录的功能,那么,
 
 
请问是否有对登录的帐号密码保存在手机本地,
 
又问是否对与服务器端的交互封包提供了加密处理;
 
交互封包中的帐号密码是否也有处理;
 
再问是否对加密的密钥进行隐蔽的保存;
 
并且误帐号或密码的登录次数是否有限制等。
 
哈尔滨app安全测试问题可以看到整个流程是,从应用本身的功能点出发,而引发的一系列测试内容。而这种类型的安全测试,也更多的像是需要测试人员对App在进行安全攻击,然后确认其安全性。
可以看到在整个测试过程中,更多的是需要人工参与,无法进行自动化测试的功能。
 
哈尔滨APP安全
如果说以上和应用内容相关测试为动态功能测试,那么再来看看静态测试。
静态测试主要测试些什么呢?
 
再看上面的测试逻辑,请问如何知道封包是否加密呢?可以通过调试分析App进程。
 
哈尔滨app安全测试问题那么怎样的App可以或者更容易被调试分析和破解呢?这就涉及到Apk本身的很多配置。例如在Apk的AndroidManifest.xml文件内,有android:debuggable=“false”这样的标志位。并且由于Apk底层都是使用Java,其本身很容易被反编译获得源码,这样可以更进一步的分析应用的漏洞点。所以从这个方面想,是否应该需要对Java的dex文件进行保护或者混淆。
 
哈尔滨app安全测试问题综上,可以看到静态测试更多的是在Apk文件本身的层面进行,因此它具有通用性。而且更重要的是,这部分测试内容更适合于自动化测试。

本文出自哈尔滨APP开发公司鹏博科技转载注明地址:
http://www.pbphkj.com/show-25-70-1.html哈尔滨怎么去测试一个 app 是否存在安全问题?怎么去测试一个 app 是否存在安全问题?App 层面上,什么类型的才算得上是一个安全漏洞?身为测试一个,这类安全性测试,是app专项测试中常见问题。