移动互联网app

移动互联网app

2 App测试点

2.1安全测试

2.1.1软件权限

1隐私泄露风险：包括访问手机信息、访问联系人信息等

2对App的输入有效性校验、认证、授权、敏感数据存储、数据加密等方面进行检测

3限制/允许使用手机功能接人互联网

4限制/允许使用手机发送接受信息功能

5限制/允许应用程序来注册自动启动应用程序

6限制或使用本地连接

7限制/允许使用手机拍照或录音

8限制/允许使用手机读取用户数据

9限制/允许使用手机写人用户数据

10检测App的用户授权级别、数据泄漏、非法授权访问等

2.1.2安装与卸载安全性

1应用程序应能正确安装到设备驱动程序上

2能够在安装设备驱动程序上找到应用程序的相应图标

3是否包含数字签名信息

4JAD文件和JAR包中包含的所有托管属性及其值必需是正确的

5JAD文件显示的资料内容与应用程序显示的资料内容应一致

6安装路径应能指定

7没有用户的允许, 应用程序不能预先设定自动启动

8卸载是否安全, 其安装进去的文件是否全部卸载

9卸载用户使用过程中产生的文件是否有提示

10其修改的配置信息是否复原

11卸载是否影响其他软件的功能

12卸载应该移除所有的文件

2.1.3数据安全性

1当将密码或其他的敏感数据输人到应用程序时, 其不会被储存在设备中, 同时密码也不会被解码

2输人的密码将不以明文形式进行显示

3密码, 信用卡明细, 或其他的敏感数据将不被储存在它们预输人

的位置上

4不同的应用程序的个人身份证或密码长度必需至少在4--8个数字长度之间

5当应用程序处理信用卡明细, 或其他的敏感数据时, 不以明文形

式将数据写到其它单独的文件或者临时文件中。以

6防止应用程序异常终止而又没有侧除它的临时文件, 文件可能遭受人侵者的袭击，然后读取这些数据信息。

7当将敏感数据输人到应用程序时

其不会被储存在设备中

8备份应该加密

恢复数据应考虑恢复过程的异常