xss跨站腳本,純安全測試乾貨分享-建議收藏

安全性測試,是app專項測試中必須要做的一環;爲什麼會這樣說!
(1)這個app應用是否能真正保護用戶的隱私不會被竊取; 任何人都不想讓自己的信息外露!
(2)測試這個app本身是否存在漏洞? 如果有的話病毒很容易侵進系統破壞!
(3)運行過程中會不會出現突然閃退的情況? 如果具有交易功能會不會被劫持或資金損失呢!
xss跨站腳本,純安全測試乾貨分享-建議收藏
一.軟件權限
1.扣費風險:包括髮送短信、撥打電話、連接網絡等
2.隱私泄露風險:包括訪問手機信息、訪問聯繫人信息等
3.對App的輸入有效性校驗、認證、授權、敏感數據存儲、數據加密等方面進行檢測
4.限制/允許使用手機功能接入互聯網
5.限制/允許使用手機發送接受信息功能
6.限制/允許應用程序來註冊自動啓動應用程序
7.限制或使用本地連接
8.限制/允許使用手機拍照或錄音
9.限制/允許使用手機讀取用戶數據
10).限制/允許使用手機寫入用戶數據
11).檢測App的用戶授權級別、數據泄漏、非法授權訪問等
二.安裝與卸載安全性
1.應用程序應能正確安裝到設備驅動程序上
2.能夠在安裝設備驅動程序上找到應用程序的相應圖標
3.是否包含數字簽名信息
4.JAD文件和JAR包中包含的所有託管屬性及其值必需是正確的
5.JAD文件顯示的資料內容與應用程序顯示的資料內容應一致
6.安裝路徑應能指定
7.沒有用戶的允許, 應用程序不能預先設定自動啓動
8.卸載是否安全, 其安裝進去的文件是否全部卸載
9.卸載用戶使用過程中產生的文件是否有提示
10.其修改的配置信息是否復原
11.卸載是否影響其他軟件的功能
12.卸載應該移除所有的文件
三.數據安全性
1.當將密碼或其他的敏感數據輸人到應用程序時, 其不會被儲存在設備中, 同時密碼也不會被解碼
2.輸入的密碼將不以明文形式進行顯示
3.密碼, 信用卡明細, 或其他的敏感數據將不被儲存在它們預輸人的位置上
4.不同的應用程序的個人×××或密碼長度必需至少在6-12 個數字長度之間
5.當應用程序處理信用卡明細, 或其他的敏感數據時, 不以明文形式將數據寫到其它單獨的文件或者臨時文件中。
6.防止應用程序異常終止而又沒有刪除它的臨時文件, 文件可能遭受***者的襲擊, 然後讀取這些數據信息。
7.當將敏感數據輸人到應用程序時, 其不會被儲存在設備中
8.備份應該加密, 恢復數據應考慮恢復過程的異常、通訊中斷等, 數據恢復後再使用前應該經過校驗
9.應用程序應考慮系統或者虛擬機器產生的用戶提示信息或安全警告
10.應用程序不能忽略系統或者虛擬機器產生的用戶提示信息或安全警告, 更不能在安全警告顯示前,,利用顯示誤導信息欺騙用戶,應用程序不應該模擬進行安全警告誤導用戶
11.在數據刪除之前,應用程序應當通知用戶或者應用程序提供一個“取消”命令的操作
12.“ 取消” 命令操作能夠按照設計要求實現其功能
13.應用程序應當能夠處理當不允許應用軟件連接到個人信息管理的情況
14.當進行讀或寫用戶信息操作時, 應用程序將會向用戶發送一個操作錯誤的提示信息
15.在沒有用戶明確許可的前提下不損壞刪除個人信息管理應用程序中的任何內容Μ
16.應用程序讀和寫數據正確。
17.應用程序應當有異常保護。
18.如果數據庫中重要的數據正要被重寫, 應及時告知用戶
19.能合理地處理出現的錯誤
20.意外情況下應提示用戶
xss跨站腳本,純安全測試乾貨分享-建議收藏
以上建議僅供參考!【樂搏軟件測試】【樂搏學院
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章