移动应用安全测试方法总结

 

1.软件权限

1）扣费风险：包括短信、拨打电话、连接网络等。

2）隐私泄露风险：包括访问手机信息、访问联系人信息等。

3）对App的输入有效性校验、认证、授权、数据加密等方面进行检测

4）限制/允许使用手机功能接入互联网

5）限制/允许使用手机发送接收信息功能

6）限制或使用本地连接

7）限制/允许使用手机拍照或录音

8）限制/允许使用手机读取用户数据

9）限制/允许使用手机写入用户数据

10）限制/允许应用程序来注册自动启动应用程序

 

2.安装与卸载安全性

1）应用程序应能正确安装到设备驱动程序上

2）能够在安装设备驱动程序上找到应用程序的相应图标

3）安装路径应能指定

4）没有用户的允许，应用程序不能预先设定自动启动

5）卸载是否安全，其安装进去的文件是否全部卸载

6）卸载用户使用过程中产生的文件是否有提示

7）其修改的配置信息是否复原

8）卸载是否影响其他软件的功能

9）卸载应该移除所有的文件

 

3.数据安全性

1）当将密码或其它的敏感数据输入到应用程序时，其不会被存储在设备中，同时密码也不会被解码。

2）输入的密码将不以明文形式进行显示。

3）密码、信用卡明细或其他的敏感数据将不被存储在它们预输入的位置上。

4）不同的应用程序的个人身份证或密码长度必须至少在4-8个数字长度之间。

5）当应用程序处理信用卡明细或其它的敏感数据时，不以明文形式将数据写到其他单独的文件或者临时文件中。以防止应用程序异常终止而又没有删除它的临时文件，文件可能遭受入侵者的袭击，然后读取这些数据信息。

6）党建敏感数据输入到应用程序时，其不会被存储在设备中。

7）应用程序应考虑或者虚拟机器产生的用户提示信息或安全警告

8）应用程序不能忽略系统或者虚拟机器产生的用户提示信息或安全警告，更不能在安全警告显示前，利用显示误导信息欺骗用户，应用程序不应该模拟进行安全警告误导用户。

9）在数据删除之前，应用程序应当通知用户或者应用程序提供一个“取消”命令的操作。

10）应用程序应当能够处理当不允许应用软件连接到个人信息管理的情况。

11）当进行读或写用户信息操作时，应用程序将会向用户发送一个操作错误的提示信息。

12）在没有用户明确许可的前提下不损坏删除个人信息管理应用程序中的任何内容。

13）如果数据库中重要的数据正要被重写，应及时告知用户。

14）能合理的处理出现的错误。

15）意外情况下应提示用户。

 

4.通讯安全性

1）在运行软件过程中，如果有来电、SMS、蓝牙等通讯或充电时，是否能暂停程序，优先处理通信，并在处理完毕后能正常恢复软件，继续其原来的功能。

2）当创立连接时，应用程序能够处理因为网络连接中断，进而告诉用户连接中断的情况。

3）应能处理通讯延时或中断。

4）应用程序将保持工作到通讯超时，进而给用户一个错误信息指示有链接错误。

5）应能处理网络异常和及时将异常情况通报用户。

6）应用程序关闭网络连接不再使用时应及时关闭，断开。

 

5.人机接口安全测试

1）返回菜单应总保持可用。

2）命令有优先权顺序。

3）声音的设置不影响使用程序的功能。

4）声音的设置不影响应用程序的功能

5）应用程序必须能够处理不可预知的用户操作，例如错误的操作和同时按下多个键。

 

 

TestBird