目前android應(yīng)用的安全現(xiàn)狀,隨著android應(yīng)用的快速暴漲,相應(yīng)的漏洞也逐漸增加。同時,市場上也出現(xiàn)了專業(yè)的android應(yīng)用測試工具:一般測試的過程如下:
安裝包測試
安裝包結(jié)構(gòu)、能不反編譯出源代碼、安裝包是否簽名、重要函數(shù)、邏輯、加密算法、是否開啟PIEFlag。
數(shù)據(jù)傳輸測試
關(guān)鍵數(shù)據(jù)是否加密、客戶端對服務(wù)器驗證、傳輸加密、偽造;通過設(shè)置代理或使用第三方抓包工具,對應(yīng)用發(fā)送與接收的數(shù)據(jù)包進行截獲、重發(fā)、編輯、轉(zhuǎn)存等惡意操作。
數(shù)據(jù)驗證測試
程序是否對數(shù)據(jù)合法性校驗,檢查加密是否可逆,可攥改。程序是否對數(shù)據(jù)合法性進行了校驗。
數(shù)據(jù)存儲測試
是否保存手機號、密碼等敏感信息、日志中是否存敏感信息、數(shù)據(jù)是否被別的應(yīng)用訪問、硬編碼、日志、內(nèi)存、調(diào)試信息、組件Keychain、屏幕快照、鍵盤存儲。
安全增強測試
從服務(wù)端安全、鍵盤劫持、進程保護、第三方SDK安全檢測。
安全策略測試
密碼策略、登陸次數(shù)、密碼保護機制、會話保護策略。
推薦閱讀:
本文內(nèi)容不用于商業(yè)目的,如涉及知識產(chǎn)權(quán)問題,請權(quán)利人聯(lián)系SPASVO小編(021-60725088-8054),我們將立即處理,馬上刪除。