通常我們隊(duì)APP所進(jìn)行的安全性測(cè)試包含以下幾個(gè)模塊：安裝包安全性、數(shù)據(jù)安全性、軟鍵盤劫持、賬戶安全性、通信安全性、備份檢查等。下面針對(duì)每個(gè)模塊我們?cè)敿?xì)說明具體的測(cè)試方法。

安裝包安全性

1、反編譯

目的是為了保護(hù)公司的知識(shí)產(chǎn)權(quán)和安全方面的考慮等，一些程序開發(fā)人員會(huì)在源碼中硬編碼一些敏感信息，如密碼。而且若程序內(nèi)部一些設(shè)計(jì)欠佳的邏輯，也可能隱含漏洞，一旦源碼泄漏，安全隱患巨大。

為了避免這些問題，除了代碼審核外，通常開發(fā)的做法是對(duì)代碼進(jìn)行混淆，混淆后源代碼通過反軟件生成的源代碼是很難讀懂的。

測(cè)試中，我們可以直接使用反編譯工具（Android端使用dex2jar和jd-gui工具，iOS端使用Hopper Disassembler、otool、ida pro等）查看源代碼，判斷是否進(jìn)行了代碼混淆，包括顯而易見的敏感信息。

2、簽名

這點(diǎn)IOS可以不用考慮，因?yàn)锳PP stroe都會(huì)校驗(yàn)。但Android沒有此類權(quán)威檢查，我們要在發(fā)布前校驗(yàn)一下簽名使用的key是否正確，以防被惡意第三方應(yīng)用覆蓋安裝等?？墒褂孟铝忻顧z查：

jarsigner -verify -verbose -certs apk包路徑

若結(jié)果為“jar 已驗(yàn)證”，說明簽名校驗(yàn)成功。

3、完整性校驗(yàn)

為確保安裝包不會(huì)在測(cè)試完成到最終交付過程中因?yàn)槟承┰虬l(fā)生文件損壞，需要對(duì)安裝包進(jìn)行完整性校驗(yàn)，通常做法是檢查文件的md5值。

數(shù)據(jù)安全性

1、數(shù)據(jù)庫

數(shù)據(jù)庫是否存儲(chǔ)敏感信息，某些應(yīng)用會(huì)把cookie類數(shù)據(jù)保存在數(shù)據(jù)庫中，一旦此數(shù)據(jù)被他人獲取，可能造成用戶賬戶被盜用等嚴(yán)重問題，測(cè)試中在跑完一個(gè)包含數(shù)據(jù)庫操作的測(cè)試用例后，我們可以直接查看數(shù)據(jù)庫里的數(shù)據(jù)，觀察是否有敏感信息存儲(chǔ)在內(nèi)。一般來說這些敏感信息需要用戶進(jìn)行注銷操作后刪除。如果是cookie類數(shù)據(jù)，建議設(shè)置合理的過期時(shí)間。

2、日志

日志是否存在敏感信息，一般開發(fā)在寫程序的過程中會(huì)加入日志幫助高度，所有可能會(huì)寫入一些敏感信息，通常APP的發(fā)布版不會(huì)使用日志，但也不排除特殊情況。

3、配置文件

配置文件是否存在敏感信息，與日志類似，我們需要檢查配置文件中是否包含敏感信息。

軟鍵盤劫持

如果用戶安裝了第三方鍵盤，可能存在劫持情況，對(duì)此，我們?cè)谝恍┨貏e敏感的輸入地方可以做檢查，例如金融類APP登錄界面的用戶名密碼輸入框等，看是否支持第三方輸入法，一般建議使用應(yīng)用內(nèi)的軟鍵盤。

賬戶安全性

1、秘鑰存儲(chǔ)

密碼是否明文存儲(chǔ)在后臺(tái)數(shù)據(jù)庫。

2、秘鑰傳輸

密碼傳輸是否加密，測(cè)試中我們需要查看密碼是否被明文傳輸，如果是HTTPS接口，我們可以使用Fiddler等工具直接查看。

3、防暴力破解

賬戶鎖定策略。對(duì)于用戶輸入錯(cuò)誤密碼次數(shù)過多的情況，是否會(huì)將賬戶臨時(shí)鎖定，避免被暴力破解。

4、多端登錄

同時(shí)會(huì)話情況。一些應(yīng)用對(duì)同時(shí)會(huì)話會(huì)有通知功能，這樣至少可以讓用戶知識(shí)他的賬戶可能已經(jīng)被泄漏了。在一定程度上能免提升用戶體驗(yàn)。

5、注銷機(jī)制

在客戶端注銷后，我們需要驗(yàn)證任何的來自該用戶的，需要身份驗(yàn)證的接口調(diào)用都不能成功。

通信安全性

1、安全連接

關(guān)鍵連接是否使用安全通信，例如HTTPS。在獲知接口設(shè)計(jì)后我們需要評(píng)估是否其中內(nèi)容包含敏感信息，如果未使用安全通信，需要知會(huì)開發(fā)修改。

2、數(shù)字證書

是否對(duì)數(shù)字證書合法性進(jìn)行驗(yàn)證。即便使用了安全通信，例如HTTPS，我們也需要在客戶端代碼中對(duì)服務(wù)端證書進(jìn)行合法性校驗(yàn)。測(cè)試中可以使用Fiddler工具模擬中間人攻擊方法。如果客戶端對(duì)于Fiddler證書沒有校驗(yàn)而能正常調(diào)用，則存在安全隱患。

備份檢查

只需在Android端檢查，使用adb backup命令檢查應(yīng)用是否允許備份數(shù)據(jù)。

服務(wù)區(qū)域：廣東省、廣州(天河、蘿崗開發(fā)區(qū)、黃埔開發(fā)區(qū)、南沙新區(qū)、番禺、花都、從化、增城、越秀、白云）、珠海市、中山市、江門市、佛山市、惠州市、東莞市、深圳市、肇慶市、云浮市、茂名市、湛江市、清遠(yuǎn)市、韶關(guān)市、梅州市、汕頭市、潮州市、河源市、揭陽市、陽江市

全國(guó)各省、市、自治區(qū)：廣東省、海南省、福建省、湖南省、四川省、重慶市、貴州省、云南省、廣西壯族自治區(qū)、湖北省、河南省、山東省、河北省、陜西省、山西省、浙江省、江蘇省、遼寧省、黑龍江省、吉林省、上海市、天津市、北京市、甘肅省、西藏自治區(qū)、安徽省、青海省、寧夏回族自治區(qū)、內(nèi)蒙古自治區(qū)、新疆維吾爾族自治區(qū)

WX:一三三+++++四二捌伍++++++二伍一捌

主要業(yè)務(wù)為軟件產(chǎn)品測(cè)試、電子產(chǎn)品檢測(cè)、安防產(chǎn)品檢測(cè)、軟件第三方驗(yàn)收測(cè)試、科技項(xiàng)目驗(yàn)收測(cè)試、信息系統(tǒng)第三方檢測(cè)、集成電路檢測(cè)、芯片檢測(cè)、IC檢測(cè)、雷電防護(hù)裝置檢測(cè)（建筑防雷裝置檢測(cè)、防雷定期檢測(cè)、防雷首次檢測(cè)）、通信網(wǎng)防御雷電安全保護(hù)檢測(cè)、移動(dòng)通信基站防雷檢測(cè)、地理信息系統(tǒng)軟件測(cè)試、數(shù)字社區(qū)應(yīng)用軟件測(cè)評(píng)、 建設(shè)領(lǐng)域軟硬件測(cè)評(píng)、軟件安全性測(cè)試、軟件驗(yàn)收項(xiàng)目（安全、性能、驗(yàn)收測(cè)試、滲透測(cè)試、漏洞掃描、***檢查、代碼審計(jì)、代碼檢測(cè)）、廣東省安全技術(shù)防范系統(tǒng)設(shè)計(jì)、施工、維修資格備案證業(yè)績(jī)檢測(cè)（安防工程檢測(cè)）、信息化項(xiàng)目技術(shù)績(jī)效評(píng)估(網(wǎng)站或系統(tǒng)績(jī)效評(píng)估）、政務(wù)信息化項(xiàng)目效能評(píng)估、信息系統(tǒng)安全等級(jí)保護(hù)備案證明、信息系統(tǒng)安全等保報(bào)告、網(wǎng)絡(luò)安全等保測(cè)評(píng)、信息系統(tǒng)安全等保測(cè)評(píng)、數(shù)字新基建項(xiàng)目第三方測(cè)試(5G建設(shè)、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數(shù)據(jù)中心、人工能、工業(yè)互聯(lián)網(wǎng))、廣東省守合同重企業(yè)、通用航空經(jīng)營(yíng)許可（即原來的：民用無人駕駛航空器經(jīng)營(yíng)許可、道路運(yùn)輸經(jīng)營(yíng)許可、AOPA無人機(jī)多旋翼駕駛員培訓(xùn)、無人機(jī)研發(fā)生產(chǎn)銷售、無人機(jī)合作辦學(xué)、無人機(jī)實(shí)訓(xùn)室建設(shè)、信息系統(tǒng)建設(shè)和服務(wù)能力評(píng)估CS、信息系統(tǒng)服務(wù)交付能力評(píng)估CCID、計(jì)算機(jī)信息系統(tǒng)安全服務(wù)證、信息系統(tǒng)集成及服務(wù)資質(zhì)、信息系統(tǒng)運(yùn)維資質(zhì)、音視頻系統(tǒng)集成資質(zhì)、安防系統(tǒng)集成資質(zhì)、音視頻集成工程企業(yè)能力等級(jí)證書、信息化能力評(píng)價(jià)、EDI/ICP安全防護(hù)檢測(cè)、廣東省安全技術(shù)防范系統(tǒng)設(shè)計(jì)、施工與維修證、廣東省有線廣播電視工程設(shè)計(jì)（安裝）證、廣東省防雷工程企業(yè)能力評(píng)價(jià)、軟件過程及能力成熟度評(píng)估CMMI、涉密信息系統(tǒng)集成資質(zhì)、數(shù)據(jù)管理能力成熟度評(píng)估模型DCMM、信息技術(shù)服務(wù)運(yùn)行維護(hù)標(biāo)準(zhǔn)ITSS、信息安全服務(wù)資質(zhì)CCRC、科技成果評(píng)價(jià)、科技成果登記、科技成果登記合作（即掛名）、科學(xué)技術(shù)獎(jiǎng)申請(qǐng)、專利合作申請(qǐng)（即掛名）、國(guó)家高新技術(shù)企業(yè)認(rèn)證、雙軟認(rèn)定、動(dòng)漫企業(yè)認(rèn)定、技術(shù)合同登記、知識(shí)產(chǎn)權(quán)服務(wù)、發(fā)明專利加急、集成電路布圖專有權(quán)登記、計(jì)算機(jī)軟件著作權(quán)登記、軟件檢測(cè)報(bào)告（軟件項(xiàng)目驗(yàn)收鑒定報(bào)告）、工商注冊(cè)、代理記賬、創(chuàng)業(yè)補(bǔ)助申請(qǐng)等服務(wù)領(lǐng)域。VX;133-------4二捌五----2518

如有計(jì)劃辦的企業(yè)，可協(xié)助解決企業(yè)人員問題，可咨詢我們，v---x：133----四二捌五----2518