目前android應(yīng)用的安全現(xiàn)狀����,隨著android應(yīng)用的快速暴漲,相應(yīng)的漏洞也逐漸增加��。同時(shí)���,市場上也出現(xiàn)了專業(yè)的android應(yīng)用測試工具:一般測試的過程如下:
安裝包測試
安裝包結(jié)構(gòu)�����、能不反編譯出源代碼�、安裝包是否簽名�����、重要函數(shù)�����、邏輯�、加密算法、是否開啟PIEFlag���。
數(shù)據(jù)傳輸測試
關(guān)鍵數(shù)據(jù)是否加密�����、客戶端對服務(wù)器驗(yàn)證���、傳輸加密���、偽造;通過設(shè)置代理或使用第三方抓包工具,對應(yīng)用發(fā)送與接收的數(shù)據(jù)包進(jìn)行截獲���、重發(fā)���、編輯、轉(zhuǎn)存等惡意操作��。
數(shù)據(jù)驗(yàn)證測試
程序是否對數(shù)據(jù)合法性校驗(yàn)�,檢查加密是否可逆,可攥改�����。程序是否對數(shù)據(jù)合法性進(jìn)行了校驗(yàn)����。
數(shù)據(jù)存儲測試
是否保存手機(jī)號����、密碼等敏感信息�����、日志中是否存敏感信息���、數(shù)據(jù)是否被別的應(yīng)用訪問、硬編碼�����、日志�����、內(nèi)存�����、調(diào)試信息�、組件Keychain、屏幕快照、鍵盤存儲���。
安全增強(qiáng)測試
從服務(wù)端安全����、鍵盤劫持�����、進(jìn)程保護(hù)�����、第三方SDK安全檢測�����。
安全策略測試
密碼策略���、登陸次數(shù)��、密碼保護(hù)機(jī)制��、會話保護(hù)策略���。
推薦閱讀:
本文內(nèi)容不用于商業(yè)目的���,如涉及知識產(chǎn)權(quán)問題,請權(quán)利人聯(lián)系SPASVO小編(021-60725088-8054)�����,我們將立即處理����,馬上刪除�。
sales@spasvo.com
