APP应用安全测试

最新推荐文章于 2024-09-24 14:47:52 发布
最新推荐文章于 2024-09-24 14:47:52 发布
阅读量1k 收藏
点赞数
文章标签: 安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68271895/article/details/129235999
版权
随着移动应用的发展,安全问题日益突出。Check Point报告显示97%的组织面临移动威胁,CNCERT捕获的恶意程序样本数量持续增长。APP安全测试涵盖数据安全、组件安全和代码安全,包括隐私协议合规性、权限申请合规性、组件漏洞检测、反编译等,旨在保障用户和企业信息安全。
摘要由CSDN通过智能技术生成
本篇文章摘自《软件测试技术趋势白皮书》章节

随着移动互联网和通信技术的不断发展,移动应用在各行各业得到了井喷式的高速增长。移动应用也成为人们日常生活不可或缺的组成部分。移动应用快速发展的同时,其涉及系统和信息的安全问题越来越突出。根据Check Point发布的《2021年移动安全报告》显示,在过去一年新冠疫情期间,远程办公方式大规模兴起,移动攻击面也急剧扩大,97%的组织面临着来自多个攻击向量的移动威胁。根据国家互联网应急中心(CNCERT)发布《2020年中国互联网网络安全报告》显示,2020年,CNCERT/CC捕获及通过厂商交换获得的移动互联网恶意程序样本数量为3,028,414个。2016-2020年,移动互联网恶意程序样本总量持续高速增长,如下图所示。

图3-5-8 2016-2020年移动互联网恶意程序样本数量对比(来源CNCERT/CC)

企业作为APP的开发运营者,是安全事件发生的责任主体,客观存在的安全漏洞会对企业造成潜在的经济、名誉损失。企业对APP安全的重视程度需要提高,并且需要同时兼顾APP的合规性以及安全性。从国家密切出台个人信息保护相关的政策来看,防范隐私数据泄露和内容风险也是当下监管的重点。

针对移动APP的安全测试,是为了能够检测出潜在的安全漏洞和安全风险,以此来保障APP用户和企业的信息安全。在检测内容上,从数据、程序、代码三个层面出发将APP安全测试主要分为数据安全、组件安全、代码安全三部分。

数据安全

中国信息通信研究院发布的《移动应用数据安全与个人隐私保护白皮书(2019年)》显示,67%的App 存在5个及以上个人信息安全问题,18.5%的App 存在10个及以上个人信息安全问题。超过四成App的问题集中在未公开收集使用规则、未明示收集使用目的、超范围收集个人信息等5类问题上。

APP数据安全的检测,重点在对个人隐私保护上

最低0.47元/天 解锁文章
软件工程资讯前沿
关注
鸿蒙系统下APP安全测试方案_v1.1.1.docx
05-13
### 鸿蒙系统下APP安全测试方案 #### 1. 引言 ##### 1.1 测试目的 在当前数字化时代,移动应用程序的安全性成为企业和用户关注的重点。随着鸿蒙系统的推出和发展,针对其上的应用程序进行严格的安全测试变得尤为...
移动APP安全测试要点
02-24
在海量的应用中,APP可能会面临如下威胁:在这次的移动APP安全测试实例中,工作小组主要通过如下7个方向,进行移动终端APP安全评估:运营商自主开发的自动化APP安全检测工具,通过”地、集、省”三级机构协作的方式...
2024年软件测试最新APP 安全测试_app个人信息安全评估测试用例(1),附答案
2401_84563933的博客
05-07 1172
数据库是否存储敏感信息,某些应用会把cookie类数据保存在数据库中,一旦此数据被他人获取,可能造成用户账户被盗用等严重问题,测试中在跑完一个包含数据库操作的测试用例后,我们可以直接查看数据库里的数据,观察是否有敏感信息存储在内。如果用户安装了第三方键盘,可能存在劫持情况,对此,我们在一些特别敏感的输入地方可以做检查,例如金融类APP登录界面的用户名密码输入框等,看是否支持第三方输入法,一般建议使用应用内的软键盘。在客户端注销后,我们需要验证任何的来自该用户的,需要身份验证的接口调用都不能成功。
最佳的10款App安全测试工具
最新发布
shanguicsdn000的博客
09-24 786
移动互联网时代,我们的生活和工作深受 App 影响。伴随移动 App 的广泛应用App 安全日益重要。本文介绍了 App 开发可能用到的安全测试工具。当今, 全球移动用户大约超过37亿。Google Play 上大约有 220 万个 App, 苹果App Store 上大约有 20 亿或更多的 App。同时,根据 Flurry 统计数据表明,现在,每个人每天会在移动设备上 花费近 5 个小时的时间。移动 App 的广泛应用,必然伴随着新的应用安全威胁。这些攻击与以前经典的 web app 无关。
安全测试
changNet的专栏
02-24 1686
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
APP安全性测试总结--网上转载
weixin_30279751的博客
10-31 2019
移动APP安全测试 老鹰a0人评论7103人阅读2018-08-06 16:22:07 1 移动APP安全风险分析 1.1 安全威胁分析 安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。 1.2 面临的主要风险 1.3 Android测试思维导图 ...
App安全测试-软件权限/安装与卸载安全
就想讲点测试
11-18 3404
APP安全测试点 -----------转摘某位大神,看过之后,觉得比一些介绍APP测试的书籍都要写的好,若是测试APP完全可以参考,并结合自己的工作,看是否有漏测或者自己工作需要改进的地方 软件权限 1)扣费风险:包括发送短信、拨打电话、连接网络等 2)隐私泄露风险:包括访问手机信息、访问联系人信息等 3)对App的输入有效性校验、认证、授权、敏感数据存储、数据加密等方面进行检
App 安全测试
weixin_38754349的博客
08-25 1414
APP安全威胁在App项目中都会碰到三座App安全大山。App客户端安全、数据传输安全App服务端安全。下面以分析检测的思路进行对App安全威胁的这三座大山进行一些剖析梳理总结。工具介绍...
移动APP安全在渗透测试中的应用
03-04
以往安全爱好者研究的往往是app的本地安全,比如远控、应用破解、信息窃取等等,大多人还没有关注到app服务端的安全问题,于是在这块的安全漏洞非常多。移动app大多通过webapi服务的方式跟服务端交互,这种模式把...
APP测试—安全测试
qq_41596734的博客
09-25 864
1 安装包是否支持反编译代码 我们把移动应用发布出去最终用户会获得一个程序安装包。我们需要关注的是用户能否从这个安装包获取项目源代码。 在测试中,如何面对各种发编译的情况,开发人员通常做法就是对代码进行混淆,混淆后的源代码通过反编译软件生成的源代码很难懂的。测试人员通常反编译方法时使用dex2jar工具和jdgui工具查看源代码。 ...
APP安全测试汇总【网络安全
2401_84466325的博客
05-26 1596
检测 APP 移动客户端是否经过了正确签名,通过检测签名,可以检测出安装包在签名后是否被修改过。如 果 APP 使⽤了 debug 进⾏证书签名,那么 APP 中⼀部分 signature 级别的权限控制就会失效,导致攻击 者可以编写安装恶意 APP 直接替换掉原来的客户端。
app如何进行安全测试
weixin_43886221的博客
04-02 2734
软件安全性测试是软件质量保证过程中的一个重要环节,其目的是为了发现、暴露和修复软件系统中可能存在的安全漏洞或弱点,确保系统在遭受恶意攻击时能够有效保护数据的机密性、完整性和可用性。在设计和执行软件安全性测试时,测试人员会模拟各种安全威胁和攻击场景,以验证软件在面临这些潜在风险时的安全防护能力。总之,在执行安全测试时,不仅要注重技术手段的有效性,还要充分考虑法律、伦理、风险管理等多个维度,确保整个测试过程既严谨又合规。软件安全性测试旨在确保软件产品的整体安全性,并为用户提供一个安全可靠的环境来使用和交互。
APP安全测试收集
mialukis的专栏
09-30 724
1. 用户隐私 检查是否在本地保存用户密码,无论加密与否 检查敏感的隐私信息,如聊天记录、关系链、银行账号等是否进行加密 检查是否将系统文件、配置文件明文保存在外部设备上 部分需要存储到外部设备的信息,需要每次使用前都判断信息是否被篡改 2. 文件权限 检查App所在的目录,其权限必须为不允许其他组成员读写 3. 网络通讯 检查敏感信息在网络传输中是否做了加密处
APP安全性测试
a10703060237的博客
06-26 2307
前言:   随着互联网发展,APP应用的盛行,最近了解到手机APP相关的安全性测试,以webview为主体的app,站在入侵或者攻击的角度来讲,安全隐患在于http抓包,逆向工程。   目前大部分app还是走的http或者https,所以防http抓包泄露用户信息以及系统自身漏洞是必要的,通过抓包当你查看一个陌生用户信息时,一些手机号,qq等信息页面上应该不显示的,但这些信息不显示并不代表服务器没有下发,好多都是...
初识App安全性测试
piooix的博客
12-21 701
目前手机App测试还是以发现bug为主,主要测试流程就是服务器接口测试,客户端功能性覆盖,以及自动化配合的性能,适配,压测等,对于App安全性测试貌似没有系统全面统一的标准和流程,其实安全性bug也可以是bug的一种,只不过更加隐秘,难以发现,尤其针对于手机App。   以webview为主体的app,站在入侵或者攻击的角度来讲,安全隐患在于http抓包,逆向工程。谈这之前先讲讲webview
APP安全性测试总结-移动APP安全测试
12-05 2325
安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是java汇编代码。dex2jar主要是用来把之前zip解压出来的classed.dex转成jar包的jd-gui主要是用来打开Jar包的APP源代码对于一个公司是非常重要的信息资源,对APP的保护也尤为重要,APP的反编译会造成源代码被恶意者读取,以及APP的逻辑设计,我们一般想要
移动端安全测试主要涉及_移动端测试之APP安全测试
weixin_34498545的博客
12-24 404
现在APP测试已经是测试行业的一个重要分支,对APP测试技能和经验的要求也越来越高,看到一篇关于APP安全测试的总结,分享给需要的朋友。1、软件权限1)扣费风险:包括发送短信、拨打电话、连接网络等2)隐私泄露风险:包括访问手机信息、访问联系人信息等3)对App的输入有效性校验、认证、授权、敏感数据存储、数据加密等方面进行检测4)限制/允许使用手机功能接人互联网5)限制/允许使用手机发送接受信息功能...
APP安全测试
weixin_42299862的博客
12-08 335
没有安卓手机可以使用“逍遥模拟器” 如何在Android Nougat中正确配置Burp Suite? https://www.freebuf.com/articles/network/160900.html android adb端口被占用解决方案:https://blog.csdn.net/xiangxi101/article/details/51027378 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值