APP 安全测试_app个人信息安全评估测试用例，2024年最新差点挂在第四面

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新软件测试全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上软件测试知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip1024b （备注软件测试）

正文

5.4、是否校验数据合法性。在一些情况下，我们需要有方法来确保服务端下发的明文数据不被篡改。通常开发侧的实现方式是对数据进行数字签名并在客户端进行校验。我们可以模拟后台返回进行相关的测试工作。此外，对于其他一些客户端未进行数据校验的接口，我们也需要有意识地思考如果不进行校验是否会产生问题，并通过模拟后台返回验证。

六、组件安全测试
　　这里主要是指Android平台各个组件是否能被 外部应用恶意调用从而带来一些安全问题。包括Activity、Service、ContentProvider、Broadcast等等。采用的测试方法是通过使用drozer工具结合查看代码的方式，具体使用方法可查看官方文档。

七、服务端接口测试
　　主要关注服务端接口是否存在以下问题
　　7.1、SQL注入
　　7.2、XSS跨站脚本攻击
　　7.3、CSRF跨站请求伪造
　　7.4、越权访问
　　除了上述服务端问题外，我们还需要结合实际的需求，设计和代码，分析是否需求或设计本身就会带来安全问题。
　　举个例子：如一个购物的应用，下单地的流程包含两个接口，接口A返回订单详情，其中包括订单号码和金额总价。调用接口A后用户在客户端看到一个订单页面。用户点击提交后调用接口B，客户端传给接口B的参数为接口A返回的订单号码和金额总价，接口B的后台根据传给接口B的金额总价从用户账户中扣款，扣款成功后即根据订单号码发货。
　　这一设计有什么问题呢？那就是接口B完全信任了客户端传入的金额总价而未做校验。恶意用户可以直接调用接口B，传入伪造的金额和真实订单号，这样就能以便宜的价格购物。
　　附录
　　1.软件权限
　　1）扣费风险：包括短信、拨打电话、连接网络等。
　　2）隐私泄露风险：包括访问手机信息、访问联系人信息等。
　　3）对App的输入有效性校验、认证、授权、数据加密等方面进行检测
　　4）限制/允许使用手机功能接入互联网
　　5）限制/允许使用手机发送接收信息功能
　　6）限制或使用本地连接
　　7）限制/允许使用手机拍照或录音
　　8）限制/允许使用手机读取用户数据
　　9）限制/允许使用手机写入用户数据
　　10）限制/允许应用程序来注册自动启动应用程序
　　2.数据安全性
　　1）当将密码或其它的敏感数据输入到应用程序时，其不会被存储在设备中，同时密码也不会被解码。
　　2）输入的密码将不以明文形式进行显示。
　　3）密码、信用卡明细或其他的敏感数据将不被存储在它们预输入的位置上。
　　4）不同的应用程序的个人身份证或密码长度必须至少在4-8个数字长度之间。
　　5）当应用程序处理信用卡明细或其它的敏感数据时，不以明文形式将数据写到其他单独的文件或者临时文件中。以防止应用程序异常终止而又没有删除它的临时文件，文件可能遭受入侵者的袭击，然后读取这些数据信息。
　　6）党建敏感数据输入到应用程序时，其不会被存储在设备中。
　　7）应用程序应考虑或者虚拟机器产生的用户提示信息或安全警告
　　8）应用程序不能忽略系统或者虚拟机器产生的用户提示信息或安全警告，更不能在安全警告显示前，利用显示误导信息欺骗用户，应用程序不应该模拟进行安全警告误导用户。
　　9）在数据删除之前，应用程序应当通知用户或者应用程序提供一个“取消”命令的操作。
　　10）应用程序应当能够处理当不允许应用软件连接到个人信息管理的情况。
　　11）当进行读或写用户信息操作时，应用程序将会向用户发送一个操作错误的提示信息。
　　12）在没有用户明确许可的前提下不损坏删除个人信息管理应用程序中的任何内容。
　　13）如果数据库中重要的数据正要被重写，应及时告知用户。
　　14）能合理的处理出现的错误。
　　15）意外情况下应提示用户。
　　3.通讯安全性
　　1）在运行软件过程中，如果有来电、SMS、蓝牙等通讯或充电时，是否能暂停程序，优先处理通信，并在处理完毕后能正常恢复软件，继续其原来的功能。
　　2）当创立连接时，应用程序能够处理因为网络连接中断，进而告诉用户连接中断的情况。
　　3）应能处理通讯延时或中断。
　　4）应用程序将保持工作到通讯超时，进而给用户一个错误信息指示有链接错误。
　　5）应能处理网络异常和及时将异常情况通报用户。
　　6）应用程序关闭网络连接不再使用时应及时关闭，断开。
　　4.人机接口安全测试
　　1）返回菜单应总保持可用。
　　2）命令有优先权顺序。
　　3）声音的设置不影响使用程序的功能。
　　4）应用程序必须能够处理不可预知的用户操作，例如错误的操作和同时按下多个键。

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip1024b （备注软件测试）

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**