A. 如何進行app安全測試

appscan,可以試試~~~~~~~~~~

B. 移動app安全測試主要從那幾個方面進行檢測的

報告從許可權檢測、代碼檢測、防禦檢測、盜版檢測、漏洞掃描等5個維度對APP進行了分析。
幾維安全是從這五個方向進行分析的哈。
希望能夠幫助各位。

C. 「軟體測試」如何進行APP安全性測試

一、前言
在SDK最近的項目中上線的包被第三方殺毒軟體報出有病毒的問題,後來經過查驗發現是SDK懸浮窗動畫的邏輯被檢驗出有病毒,最後進行了修改。事情雖然解決了,但是引起該問題的一個原因是在測試中沒有安全測試,而安全測試的標准,方法都沒有。因此今天將之前工作中參與過的安全測試以及從網上查閱到有關安全測試的資料進行整理。有不足的之處,盡情諒解。
二、軟體許可權
1)扣費風險:瀏覽網頁,下載,等情況下是否會扣費,一般在游戲APP,和社交APP等需要考慮這些。
2)隱私泄露風險。例如在我們安裝APP應用時通常會看到"xx要讀取手機通訊錄"等提示,這些提示可以提示用戶拒絕接受,這些是APP測試中的測試點。
3)校驗input輸入。對於APP有輸入框的要對輸入的信息進行校驗,比如密碼不能顯示明文。在測試中紅人館注冊時需要對input進行測試。
4)限制/允許使用手機功能接人互聯網,收發信息,啟動應用程序,手機拍照或者錄音,讀寫用戶數據。這個在通信行業用的比較多,比如展訊,高通等晶元廠商,他們在出廠晶元時要對手機各個功能進行測試。
三、代碼安全性
之所以單獨拿出來說,是因為在SDK測試過程中SDK代碼被第三方工具檢測出遊病毒代碼,這樣一來就會影響輸入法的使用。因此在後續測試中要嘗試加入安全性測試。
四、安裝與卸載安全性
1)應用程序應能正確安裝到設備驅動程序上
2)能夠在安裝設備驅動程序上找到應用程序的相應圖標。在SDK測試項目中發現有些設備受許可權的問題,無法下發圖標創建快鏈。
3)是否包含數字簽名信息。在SDK測試項目中基本上沒有,但是在輸入法打包和主線版本上存在這樣的測試。
4)安裝路徑應能指定
5)沒有用戶的允許應用程序不能預先設定自動啟動
6)卸載是否安全,其安裝進去的文件是否全部卸載
7)卸載用戶使用過程中產生的文件是否有提示
8)其修改的配置信息是否復原
9)卸載是否影響其他軟體的功能
10)卸載應該移除所有的文件
11)安裝包的存放。在SDK下載安裝包的測試中我們經常會看到下載下來的包後面有四個隨機的字元串,這個的目的是為了防止第三方工具惡意刪除安裝包的問題。
在SDK測試項目中有專門針對下載安裝卸載的用例,對安裝的路徑和下載的文件夾路徑等有相關的測試,測試結果頁表明,某些手機(例如華為mate1)在刪除了某個下載路徑文件夾之後受許可權應用不會自動創建。
五、數據安全性
1)當將密碼或其他的敏感數據輸人到應用程序時,其不會被儲存在設備中,同時密碼也不會被解碼
2)輸人的密碼將不以明文形式進行顯示
3)密碼,信用卡明細,或其他的敏感數據將不被儲存在它們預輸人的位置上
4)不同的應用程序的個人身份證或密碼長度必需至少在4一8個數字長度之間
5)當應用程序處理信用卡明細,或其他的敏感數據時,不以明文形式將數據寫到其它單獨的文件或者臨時文件中。以防止應用程序異常終止而又沒有刪除它的臨時文件,文件可能遭受人侵者的襲擊,然後讀取這些數據信息。
6)當將敏感數據輸人到應用程序時,其不會被儲存在設備中
7)備份應該加密,恢復數據應考慮恢復過程的異常通訊中斷等,數據恢復後再使用前應該經過校驗
8)應用程序應考慮系統或者虛擬機器產生的用戶提示信息或安全警告
9)應用程序不能忽略系統或者虛擬機器產生的用戶提示信息或安全警告,更不能在安全警告顯示前,利用顯示誤導信息欺騙用戶,應用程序不應該模擬進行安全警告誤導用戶
10)在數據刪除之前,應用程序應當通知用戶或者應用程序提供一個"取消"命令的操作
11)"取消"命令操作能夠按照設計要求實現其功能
12)應用程序應當能夠處理當不允許應用軟體連接到個人信息管理的情況
13)當進行讀或寫用戶信息操作時, 應用程序將會向用戶發送一個操作錯誤的提示信息
14)在沒有用戶明確許可的前提下不損壞刪除個人信息管理應用程序中的任何內容
15)應用程序讀和寫數據正確。
16)應用程序應當有異常保護。
17)如果資料庫中重要的數據正要被重寫,應及時告知用戶
18)能合理地處理出現的錯誤
19)意外情況下應提示用戶
20)HTTP、HTTPS覆蓋測試。在測試中我們經常會遇到與請求的加密解密測試,以確保產品的安全性

D. appscan如何測試app安全問題

這個是掃描web端網站的吧

E. APP安全檢測主要檢測哪些內容

一般來說,主要對Android組件、許可權管理、dex保護、數據安全(傳輸、存儲、輸出),以及對危險調試信息等常見的漏洞風險進行檢測;不過一些行業性應用對檢測要求會更多,比如金融應用最為看重的業務安全、數據安全等。建議你可以了解下愛內測,檢測項目比較全,例如Activity安全、Broadcast Receiver安全、Service安全、WebView安全、數據安全檢測調試信息、輸入檢查 、數據傳輸完整性 、遠程數據通訊協議等等,希望可以幫助到你

F. APP的安全漏洞怎麼檢測,有什麼工具可以進行檢測

七個有代表性的免費APP應用安全測試工具:
1、 Zed Attack Proxy (ZAP)
OWASP ZAP 是目前最流行的免費APP移動安全測試工具,由全球數百個志願者維護。該工具可以在APP的開發和測試階段自動查找安全漏洞。OWASP ZAP同時還是高水平滲透測試專家非常喜愛的手動安全測試工具。
2、QARK (Quick Android Review Kit)
QARK 是一種Android程序源代碼安全漏洞分析工具。該工具有自己的開發社區,任何人都可以免費使用。QARK還會嘗試提供提供動態生成的Android Debug Bridge(ADB)命令來幫助核實潛在漏洞。
3、Devknox
對於使用Android Studio開發Android應用程序的開發者來說,Devknox是此類移動安全檢測工具中的佼佼者,Devknox不但能檢測基本的移動安全問題,還能向開發者提供問題修復的實時建議。
4、Drozer
Drozer 是一個相當全面的Android安全與攻擊框架,這個移動app安全測試工具能夠通過進程間通訊機制(IPC)與其他Android應用和操作系統互動,這種互動機制使其有別於其他自動化掃描工具。
5、MobSF (Mobile Security Framework)
Mobile Security Framework 是一個自動化的移動app安全測試工具,支持Android和iOS雙平台,能夠進行靜態、動態分析以及web API測試。MobSF經常被用來對Android或iOS app進行快速安全分析,支持二進制(APK&IPA)形式以及源代碼的zip壓縮包。
6、Mitmproxy
Mitmproxy 是一個免費的開源工具,可以用於攔截、檢測、修改或延遲app與後端服務之間的通訊數據,該工具的名字也可以看出這是一種類似中間人攻擊的測試模式。當然,這也意味著該工具確實可以被黑客利用。
7、iMAS
iMAS 也是一個開源移動app安全測試工具,可以幫開發者在開發階段遵守安全開發規則,例如應用數據加密、密碼提示、預防應用程序篡改、在iOS設備中部署企業安全策略等。無論是檢查設備越獄,保護駐內存敏感信息還是防範二進制補丁,iMAS能為你的iOS程序在充滿敵意的環境中提供安全保障。

G. 如何進行APP安全性測試

通常我們隊APP所進行的安全性測試包含以下幾個模塊:安裝包安全性、數據安全性、軟鍵盤劫持、賬戶安全性、通信安全性、備份檢查等。下面針對每個模塊我們詳細說明具體的測試方法

H. 怎麼去測試一個 app 是否存在安全問題

身為測試答一個,這類安全性測試,是app專項測試中必須要做的一環,簡單列舉下目前常做的測試類別

1. 用戶隱私

檢查是否在本地保存用戶密碼,無論加密與否

檢查敏感的隱私信息,如聊天記錄、關系鏈、銀行賬號等是否進行加密

檢查是否將系統文件、配置文件明文保存在外部設備上

部分需要存儲到外部設備的信息,需要每次使用前都判斷信息是否被篡改

2. 文件許可權

檢查App所在的目錄,其許可權必須為不允許其他組成員讀寫

3. 網路通訊

檢查敏感信息在網路傳輸中是否做了加密處理,重要數據要採用TLS或者SSL

4. 運行時解釋保護

對於嵌有解釋器的軟體,檢查是否存在XSS、SQL注入漏洞

使用webiew的App,檢查是否存在URL欺騙漏洞

5. Android組件許可權保護

禁止App內部組件被任意第三方程序調用。

若需要供外部調用的組件,應檢查對調用者是否做了簽名限制

6. 升級

檢查是否對升級包的完整性、合法性進行了校驗,避免升級包被劫持

7. 3rd庫

如果使用了第三方庫,需要跟進第三方庫的更新

I. Android app安全性能測試怎麼做

1、要測試安卓軟體的性能,目前有愛內測,它家主要針對android app做測試的平台 2、也是主要從app的安全、軟體的功能、app應用bug、軟體穩定性等這些方面進行測試的。