安全性測試,是app專項測試中必須要做的一環,簡單列舉下目前常做的測試類別
1. 用戶隱私
· 檢查是否在本地保存用戶密碼,無論加密與否
· 檢查敏感的隱私信息,如聊天記錄、關係鏈、銀行賬號等是否進行加密
· 檢查是否將系統文件、配置文件明文保存在外部設備上
· 部分需要存儲到外部設備的信息,需要每次使用前都判斷信息是否被篡改
2. 文件權限
· 檢查App所在的目錄,其權限必須爲不允許其他組成員讀寫
3. 網絡通訊
· 檢查敏感信息在網絡傳輸中是否做了加密處理,重要數據要採用TLS或者SSL
4. 運行時解釋保護
· 對於嵌有解釋器的軟件,檢查是否存在XSS、SQL注入漏洞
· 使用webiew的App,檢查是否存在URL欺騙漏洞
5. Android組件權限保護
· 禁止App內部組件被任意第三方程序調用。
· 若需要供外部調用的組件,應檢查對調用者是否做了簽名限制
6. 升級
· 檢查是否對升級包的完整性、合法性進行了校驗,避免升級包被劫持
7. 3rd庫
· 如果使用了第三方庫,需要跟進第三方庫的更新