安卓应用测试工具的 测试过程

  目前安卓应用的安全现状,随着安卓应用的快速暴涨,相应的漏洞也逐渐增加。同时,市场上也出现了专业的安卓应用测试工具:爱内测/testin,个人认为testin的兼容性测试还是不错的。一般测试的过程如下:

  1、安装包测试

  安装包结构、能不反编译出源代码、安装包是否签名、重要函数、逻辑、加密算法、是否开启PIEFlag。

  2、数据传输测试

  关键数据是否加密、客户端对服务器验证、传输加密、伪造;通过设置代理或使用第三方抓包工具,对应用发送与接收的数据包进行截获、重发、编辑、转存等恶意操作。

  3、数据验证测试

  程序是否对数据合法性校验,检查加密是否可逆,可攥改。程序是否对数据合法性进行了校验。

  4、数据存储测试

  是否保存手机号、密码等敏感信息、日志中是否存敏感信息、数据是否被别的应用访问、硬编码、日志、内存、调试信息、组件

  (Activity/Service/Receiver/Provider)Keychain、屏幕快照、键盘存储。

  5、安全增强测试

  从服务端安全、键盘劫持、进程保护、第三方SDK安全检测。

  6、安全策略测试

  密码策略、登陆次数、密码保护机制、会话保护策略。

网友评论