互联网App应用程序测试流程及测试总结

近年来随着移动互联网发展迅猛，APP也进行了爆发式的增长，相应的APP的测试检测就摆在每家企业眼前，这次有幸请到了国内应用安全检测团队-爱内测（www.ineice.com）的CTO为我们介绍App应用程序测试流程及测试总结：

 

1、 APP测试基本流程

1.1流程图

仍然为测试环境

Pass

1.2测试周期

测试周期可按项目的开发周期来确定测试时间，一般测试时间为两三周（即15个工作日），根据项目情况以及版本质量可适当缩短或延长测试时间。正式测试前先向主管确认项目排期。

1.3测试资源

测试任务开始前，检查各项测试资源。

--产品功能需求文档；

--产品原型图；

--产品效果图；

--行为统计分析定义文档；

--测试设备（ios3.1.3-ios5.0.1；Android1.6-Android4.0；Winphone7.1及以上；Symbianv3/v5/Nokia Belle等）；

--其他。

1.4日报及产品上线报告

1）测试人员每天需对所测项目发送测试日报。

2）测试日报所包含的内容为：

--对当前测试版本质量进行分级；

--对较严重的问题进行例举，提示开发人员优先修改；

--对版本的整体情况进行评估。

3）产品上线前，测试人员发送产品上线报告。

4）上线报告所包含的内容为：

---对当前版本质量进行分级；

---附上测试报告（功能测试报告、兼容性测试报告、性能测试报告以及app可用性能标准结果）；

--总结上线版本的基本情况。若有遗留问题必须列出并记录解决方案。

2 、App测试点

2.1安全测试

2.1.1软件权限

1）扣费风险：包括发送短信、拨打电话、连接网络等

2）隐私泄露风险：包括访问手机信息、访问联系人信息等

3）对App的输入有效性校验、认证、授权、敏感数据存储、数据加密等方面进行检测

4）限制/允许使用手机功能接人互联网

5）限制/允许使用手机发送接受信息功能

6）限制/允许应用程序来注册自动启动应用程序

7）限制或使用本地连接

8）限制/允许使用手机拍照或录音

9）限制/允许使用手机读取用户数据

10) 限制/允许使用手机写人用户数据

11) 检测App的用户授权级别、数据泄漏、非法授权访问等

2.1.2安装与卸载安全性

1）应用程序应能正确安装到设备驱动程序上

2）能够在安装设备驱动程序上找到应用程序的相应图标

3）是否包含数字签名信息

4）JAD文件和JAR包中包含的所有托管属性及其值必需是正确的

5）JAD文件显示的资料内容与应用程序显示的资料内容应一致

6）安装路径应能指定

7）没有用户的允许, 应用程序不能预先设定自动启动

8）卸载是否安全, 其安装进去的文件是否全部卸载

9）卸载用户使用过程中产生的文件是否有提示

10）其修改的配置信息是否复原

11）卸载是否影响其他软件的功能

12）卸载应该移除所有的文件

2.1.3数据安全性

1）当将密码或其他的敏感数据输人到应用程序时,其不会被储存在设备中,同时密码也不会被解码

2）输人的密码将不以明文形式进行显示

3）密码, 信用卡明细, 或其他的敏感数据将不被储存在它们预输人的位置上

4）不同的应用程序的个人身份证或密码长度必需至少在4一8 个数字长度之间

5）当应用程序处理信用卡明细, 或其他的敏感数据时, 不以明文形式将数据写到其它单独的文件或者临时文件中。以6）防止应用程序异常终止而又没有侧除它的临时文件,文件可能遭受人侵者的袭击,然后读取这些数据信息。

7）当将敏感数据输人到应用程序时,其不会被储存在设备中

8）备份应该加密, 恢复数据应考虑恢复过程的异常通讯中断等,数据恢复后再使用前应该经过校验

9）应用程序应考虑系统或者虚拟机器产生的用户提示信息或安全替告

10