测试之家

移动安全测试 移动安全测试需要关注点?请大家补充

莹莹 · 2014年04月01日 · 最后由 zhangzhao_lenovo 回复于 2015年05月19日 · 3338 次阅读

1.与服务端的数据传输,数据加密,避免数据暴漏
2.针对签名需要做与服务端的签名对比,避免应用被盗用
3.数据库存储加密,避免数据库内容暴漏
4.工程打包混淆
还需要哪些呢?请大家补充谢谢

共收到 13 条回复 时间 点赞
卡斯 #2 · 2014年04月01日

1.文件
2.权限
3.传输
4.漏洞

莹莹 #3 · 2014年04月01日 Author

#1 楼 @kasi 文件指的是什么啊?

卡斯 #3 · 2014年04月01日

db、files 都属于,只要存储于本地的

莹莹 #4 · 2014年04月01日 Author

#3 楼 @kasi 好的谢谢

莹莹 #5 · 2014年04月01日 Author

#1 楼 @kasi 漏洞指的是什么漏洞

Mingway_Hu #6 · 2014年04月01日

#1 楼 @kasi 卡斯大哥,百度云测出了个 apk 扫描的功能,你有用过没?你觉得那个靠谱么?

恒温 #13 · 2014年04月01日

#5 楼 @angel_ying 系统本身的漏洞

恒温 #8 · 2014年04月01日

其实还有一点,防止窃屏。。。

卡斯 #9 · 2014年04月02日

漏洞很多 注入 跨站 等 百度云的 apk 扫描没用过 不如 lbe 国内 android 安全一块的 lbe 算首选了

莹莹 #10 · 2014年04月04日 Author

#9 楼 @kasi 受教,谢谢

xingzunxi #11 · 2014年04月06日 1 个赞

安全包含程序自身安全以及运行环境的安全,我们一般讨论的大部分都是程序自身安全,运行环境安全一般都是做杀毒安全类的软件要做的事情。但是如果运行环境本身有问题,我们的软件一般很难避免。程序自身安全包含:数据安全,例如数据存储安全,保存的配置文件,数据库等,日志信息,账号等信息在内存中运行安全性。业务安全性,每个产品的业务不同,涉及的方面差别很大。另外还有程序发布的要防止篡改,防止反编译等。在我们引用第三方 sdk 时候,也要考虑引用的第三方 sdk 是否是安全的。安全这个方面涉及太多了,建议还是由专门的人员去做,半吊子做出来的效果好不到哪里去。

叶子 #11 · 2015年03月18日

“1.与服务端的数据传输,数据加密,避免数据暴漏” 这条怎么测?

zhangzhao_lenovo #12 · 2015年05月19日

#12 楼 @emily brup 或者 fiddler 截包吧,一般都做中间层攻击,信息泄漏还算小的,一个请求要是泄露带 id 就可以篡改请求来撞库或者泄露带金额可以修改金额支付,你懂得。
加密做的不好的话也有可能加密密钥被拿到,现在都好几例这样的案例了

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册