原創(chuàng)

移動APP安全測試用例指南

1,、移動應用安全測試內(nèi)容

類別

檢測項

測試內(nèi)容

本地客戶端

反編譯

安裝包簽名

應用完整性校驗

組件導出安全

本地敏感信息安全

鍵盤記錄保護

拒絕服務

代碼加固(混淆)

ROOT檢測

通訊安全

敏感信息未加密傳輸

敏感信息加密方式不安全

訪問控制(URL是否只能手機訪問)

短信重放(抓包工具抓包重放)

安全策略設置

密碼復雜度策略

認證失敗鎖定策略

會話超時策略

UI信息泄露

賬號登錄限制(能否在兩個設備上同時登錄同一個帳號)

安全退出策略

業(yè)務和服務器

參考業(yè)務安全測試要點和Web安全測試規(guī)范

2、移動安全測試用例(手工安全檢測)

編號 APP_ SEC_TEST_001 
 測試用例名稱 APK文件反編譯測試
 測試目的 確認APK文件是否可以進行反編譯(是否進行安全加固)
 用例級別 高
 測試條件 1,、測試環(huán)境和測試工具已準備好
 執(zhí)行步驟1,、使用工具apktool對應用APK包進行反編譯,如可以進行第2步驟,。
2,、將APK后綴名改為.rar或則 .zip并解壓,得到classes.dex文件
3,、用dex2jar和classes.dex文件生成classes_dex2jar.jar文件,。
4、用jd-gui打開classes_dex2jar.jar文件,。
5,、確認源碼是否進行混淆。
 預期結果 APK無法進行反編譯,,如可進行反編譯,,源碼也已進行混淆處理,。
 備注 
 測試結果 
 編號APP_ SEC_TEST_002
 測試用例名稱 APK安裝包簽名測試
 測試目的 確認移動APP的安裝包是否進行簽名
 用例級別 高
 測試條件1、已安裝JDK
 執(zhí)行步驟1,、使用工具jarsigner 對APK包進行驗證
2,、觀察并確認返回結果
 預期結果

jar已驗證,即證明安裝包簽名正常,。

 備注 
 測試結果 


編號APP_ SEC_TEST_003
 測試用例名稱 APK文件完整性校驗
 測試目的 驗證APK文件的完整性
 用例級別 
 測試條件

1,、測試環(huán)境和工具準備完成

 執(zhí)行步驟1、使用apktool工具對APK包進行反編譯
2,、修改其中的某個文件(如:修改assets目錄下的圖片文件)
3,、使用apktool工具重新打包
4、使用梆梆助手進行再簽名
5,、安裝重新簽名后的APK包
6,、確認是否可正常安裝
 預期結果

不能正常安裝

 備注 
 測試結果 

編號APP_ SEC_TEST_004
 測試用例名稱 APK包的組件導出安全測試
 測試目的 檢測APK包的activity、Service,、Content Providers,、Broadcast Receivers等組件的攻擊面
 用例級別 
 測試條件

1、測試環(huán)境和工具準備完成

 執(zhí)行步驟 1,、使用apktool工具對APK包進行反編譯,,獲取AndroidManifest.xml文件

2、使用Drozer進行APK包的攻擊面測試,。
3,、根據(jù)Drozer檢測結果到AndroidManifest.xml文件進行檢查
4、分析檢查結果,。

 預期結果

確認不存在配置問題

 備注 
 測試結果 

編號APP_ SEC_TEST_005
 測試用例名稱 本地敏感信息安全-logcat測試
 測試目的 檢測本地客戶端是否有敏感信息泄露
 用例級別 
 測試條件

1,、測試環(huán)境和工具準備完成

 執(zhí)行步驟1、進入模擬器設備(手機)shell界面
2,、操作模擬器中的APP應用(比如:登錄等功能)
3,、執(zhí)行l(wèi)ogcat命令,可根據(jù)關鍵字搜索,如:logcat | grep “keyword”
4,、觀察并分析輸出結果,。
 預期結果

確認不存在敏感信息泄露。

 備注 
 測試結果 
編號APP_ SEC_TEST_006
 測試用例名稱 本地敏感信息安全-ContentProvider測試
 測試目的 檢測本地客戶端是否有敏感信息泄露
 用例級別 
 測試條件

1,、測試環(huán)境和工具準備完成

 執(zhí)行步驟1,、進入模擬器設備(手機)shell界面
2、執(zhí)行l(wèi)ogcat命令,,可根據(jù)關鍵字搜索,如:logcat | grep “keyword”
3,、觀察并分析輸出結果。
 預期結果

確認不存在敏感信息泄露。

 備注 
 測試結果 


編號APP_ SEC_TEST_007
 測試用例名稱 本地敏感信息安全-Sqlite數(shù)據(jù)庫存儲數(shù)據(jù)測試
 測試目的 檢測本地客戶端是否有敏感信息泄露
 用例級別 
 測試條件

1,、測試環(huán)境和工具準備完成

 執(zhí)行步驟1,、進入模擬器設備(手機)shell界面
2、執(zhí)行l(wèi)ogcat命令,,可根據(jù)關鍵字搜索,如:logcat | grep “keyword”
3,、觀察并分析輸出結果。
 預期結果

確認不存在敏感信息泄露,。

 備注 
 測試結果 

編號APP_ SEC_TEST_007
 測試用例名稱 
 測試目的 
 用例級別 
 測試條件
 執(zhí)行步驟 
 預期結果
 備注 
 測試結果
====================未完待續(xù)============================
正文到此結束
本文目錄