程序代码安全测试
运行环境
- root 环境检测
- 模拟器环境检测
- 挂钩框架环境检测
防反编译
- 反编译工具检测
- 代码混淆检测
- 代码混淆强度检测
- 关键代码保护检测
防篡改
- 程序文件防篡改检测
- 内存数据防篡改检测
防调试
- 调试工具防护检测
- 调试行为防护检测
- 内存防护检测
防注入
- 进程保护检测
服务交互安全测试
进程间交互
- 进程间通信数据安全检测
屏幕交互
- 界面劫持检测
- 防截屏检测
- 防录屏检测
webview 交互
- 克隆攻击检测
- webview安全检测
- add Java script interface漏洞检测
- fragment injection 注入漏洞检测
接口端口交互
- 对象反序列化检测
- 外部输入安全检测
- 不会对外输出敏感信息检测
- wormhole 漏洞检测
本地数据安全测试
数据创建
- 用户协议检测
- 数据采集检测
- 数据输入检测
- 数据生成检测
数据存储
- 访问控制检测
- 数据加密检测
数据处理
- 程序日志检测
- 敏感数据不当使用检测
数据共享
- 第三方sdk用户协议检测
- 与第三方sdk数据共享检测
数据备份
- 敏感数据备份检测
- 备份数据加密强度检测
数据销毁
- 后台运行数据检测
- 敏感数据清除检测
网络传输安全测试
安全传输层
- TLS 实现检测
- CA证书检测
- 证书校验检测
- 主机名校验
数据加密
- 通信数据加密
中间人攻击
- HTTP 中间人会话劫持检测
- HTTPS 中间人会话劫持检测
鉴权认证安全测试
注册过程
- 注册信息保护
- 注册信息加密
- 注册过程防爆破检测
- 注册过程防嗅探
登录过程
- 密码安全验证检测
- 登录信息加密传输检测
- 登录过程防爆破检测
- 登录过程防绕过检测
会话过程
- 有状态会话标志检测
- 无会话状态token检测
- 会话不活跃检测
- 加强认证检测
登出过程
- 会话终止检测
- 残留数据检测
注销过程
- 重新注册检测
- 数据清除检测
整理一下自己常用的app,安全测试内容,具体执行步骤后续有时间补充