https://www.jianshu.com/p/d79a30a7ed94
https://blog.51cto.com/laoyinga/2155341
安全测试点
- 安装包
- apk反编译
- 签名
- 发布前校验一下签名使用的key是否正确,以防被恶意第三方应用覆盖安装等
- 使用命令 jarsigner -verify -verbose -certs apk包路径
- 若结果为“jar 已验证”,说明签名校验成功。
- 完整性校验
- 为确保安装包不会在测试完成到最终交付过程中因为其他问题发生文件损坏
- 检查文件的md5值,而且一般可以通过自动化做校验
- 权限设置检查
- 直接检查manifest文件来读取应用所需要的全部权限,并结合需求进行校验此权限是否为必须的
- manifest文件的修改也需要关注,在增加新权限前需要进行评估
- 敏感信息测试(客户端加密测试)
- 软键盘劫持
- 账户安全
- 数据通信安全(网络安全测试)
- 组件安全测试
- 服务端接口测试
- 内存修改测试