APP安全测试-数据安全性/通讯安全性/人机接口安全性

转载 2015年11月18日 23:18:09

APP的安全测试点

-----------转摘某位大神,看过之后,觉得比一些介绍APP测试的书籍都要写的好,若是测试APP完全可以参考,并结合自己的工作,看是否有漏测或者自己工作需要改进的地方

数据安全性

1)当将密码或其他的敏感数据输人到应用程序时,其不会被储存在设备中, 同时密码也不会被解码

2)输人的密码将不以明文形式进行显示

3)密码, 信用卡明细, 或其他的敏感数据将不被储存在它们预输人的位置上

4)不同的应用程序的个人身份证或密码长度必需至少在4一8个数字长度之间

5)当应用程序处理信用卡明细, 或其他的敏感数据时, 不以明文形式将数据写到其它单独的文件或者临时文件中。

6)防止应用程序异常终止而又没有侧除它的临时文件, 文件可能遭受人侵者的袭击, 然后读取这些数据信息。

7)当将敏感数据输人到应用程序时, 其不会被储存在设备中

8)备份应该加密, 恢复数据应考虑恢复过程的异常通讯中断等, 数据恢复后再使用前应该经过校验

9)应用程序应考虑系统或者虚拟机器产生的用户提示信息或安全替告

10)应用程序不能忽略系统或者虚拟机器产生的用户提示信息或安全警告, 更不能在安全警告显示前,,利用显示误导信息欺骗用户,应用程序不应该模拟进行安全警告误导用户

11)在数据删除之前,应用程序应当通知用户或者应用程序提供一个“取消”命令的操作

12)“取消”命令操作能够按照设计要求实现其功能

13)应用程序应当能够处理当不允许应用软件连接到个人信息管理的情况

14)当进行读或写用户信息操作时, 应用程序将会向用户发送一个操作错误的提示信息

15)在没有用户明确许可的前提下不损坏侧除个人信息管理应用程序中的任何内容Μ

16)应用程序读和写数据正确。

17)应用程序应当有异常保护。

18)如果数据库中重要的数据正要被重写, 应及时告知用户

19)能合理地处理出现的错误

20)意外情况下应提示用户

通讯安全性

1)在运行其软件过程中, 如果有来电、SMS、EMS、MMS、蓝牙、红外等通讯或充电时, 是否能暂停程序,优先处理通信, 并在处理完毕后能正常恢复软件, 继续其原来的功能

2)当创立连接时, 应用程序能够处理因为网络连接中断, 进而告诉用户连接中断的情况

3)应能处理通讯延时或中断

4)应用程序将保持工作到通讯超时, 进而发送给用户一个错误信息指示有连接错误

5)应能处理网络异常和及时将异常情况通报用户

6)应用程序关闭或网络连接不再使用时应及时关闭) 断开

7)HTTP、HTTPS覆盖测试

--App和后台服务一般都是通过HTTP来交互的,验证HTTP环境下是否正常;

--公共免费网络环境中(如:麦当劳、星巴克等)都要输入用户名和密码,通过SSL认证来访问网络,需要对使用HTTPClient的library异常作捕获处理

人机接口安全性

1)返回菜单总保持可用

2)命令有优先权顺序

3)声音的设置不影响应用程序的功能

4)应用程序必需利用目标设备适用的全屏尺寸来显示上述内容

5)应用程序必需能够处理不可预知的用户操作, 例如错误的操作和同时按下多个键

 


app后端设计(4)-- 通讯的安全性

在app的后台设计中,一个很重要的因素是考虑通讯的安全性。      因此,我们需要考虑的要点有: 1. 在app和后台,都不能保存任何用户密码的明文 2. 在app和后台通讯的过程中,怎么保证用户信...
  • newjueqi
  • newjueqi
  • 2014年01月31日 11:21
  • 27197

LoadRunner手动关联具体步骤

关联的目的:LR录制的脚本是为了忠实模拟所有从客户端发送到服务器的数据,并在脚本回放的时候按照录制的流程重新发送,但是许多的系统都是采用唯一标识用户请求的方法,例如sessionID(服务器为每一个请...

app登录接口做接口测试

app登录接口做接口测试 Jsoup对登录接口做POST请求 密码做MD5加密

App安全性测试工具drozer

  • 2017年10月17日 16:55
  • 38.04MB
  • 下载

APP安全报告第三期:您关心P2P理财交易平台的安全性吗?

最近几维安全[国内顶级的移动安全互联网企业]对2016年P2P行业中热门的10款理财APP进行了专业的安全检测。其结果令人有些堪忧,只有少数理财APP有对核心部分做加密保护,而大部分APP的安全性都很...
  • nisejay
  • nisejay
  • 2017年03月06日 10:37
  • 270

*继承IObjectSafety接口,实现vb activeX控件安全性(IE不提示安全问题)

原文http://support.microsoft.com/kb/182598/zh-cn 从 Visual Basic 6.0 CD-ROM(安装目录) 中获取 OLE 自动化类型库生成器。若要...
  • icbyboy
  • icbyboy
  • 2013年04月16日 08:32
  • 817

Android app开放接口API安全性之Token签名Sign的设计与实现

前言在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但...

安全性测试(一)--网页安全检查

本文摘抄自一个做过网站系统安全性测试人写的文章! 感觉写的不错,记录下来: 网站安全性测试 一.  测试范围概述   网站的安全性检查一般包括:        网页安全检查  ...

APP安全报告第十六期:办公应用的安全性极低,用户数据谁来保护?

最近几维安全[国内移动安全服务商]对2017年10款热门办公APP进行了专业的安全检测。其结果令人有些堪忧,10款APP的安全性都很低,甚至有APP没采取任何防护措施! 以下是几维安全提供的...

休闲益智手游安全性不高,容遭受类似WannaCry病毒侵袭! [APP安全报告第27期]

最近几维安全[国内移动安全服务商]对2017年10款热门休闲手游进行了专业的安全检测。其结果令人有些堪忧,10款手游的安全性都很低,甚至有手游没采取任何防护措施! 以下是几维安全提供的安全报告概...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:APP安全测试-数据安全性/通讯安全性/人机接口安全性
举报原因:
原因补充:

(最多只允许输入30个字)