移動APP安全測試用例指南
1,、移動應用安全測試內(nèi)容
類別 | 檢測項 | 測試內(nèi)容 |
本地客戶端 | 反編譯 | √ |
安裝包簽名 | √ | |
應用完整性校驗 | √ | |
組件導出安全 | √ | |
本地敏感信息安全 | √ | |
鍵盤記錄保護 | √ | |
拒絕服務 | √ | |
代碼加固(混淆) | √ | |
ROOT檢測 | √ | |
通訊安全 | 敏感信息未加密傳輸 | √ |
敏感信息加密方式不安全 | √ | |
訪問控制(URL是否只能手機訪問) | √ | |
短信重放(抓包工具抓包重放) | √ | |
安全策略設置 | 密碼復雜度策略 | √ |
認證失敗鎖定策略 | √ | |
會話超時策略 | √ | |
UI信息泄露 | √ | |
賬號登錄限制(能否在兩個設備上同時登錄同一個帳號) | √ | |
安全退出策略 | √ | |
業(yè)務和服務器 | 參考業(yè)務安全測試要點和Web安全測試規(guī)范 |
2、移動安全測試用例(手工安全檢測)
編號 | APP_
SEC_TEST_001 |
---|---|
測試用例名稱 | APK文件反編譯測試 |
測試目的 | 確認APK文件是否可以進行反編譯(是否進行安全加固) |
用例級別 | 高 |
測試條件 | 1,、測試環(huán)境和測試工具已準備好 |
執(zhí)行步驟 | 1,、使用工具apktool對應用APK包進行反編譯,如可以進行第2步驟,。 2,、將APK后綴名改為.rar或則 .zip并解壓,得到classes.dex文件 3,、用dex2jar和classes.dex文件生成classes_dex2jar.jar文件,。 4、用jd-gui打開classes_dex2jar.jar文件,。 5,、確認源碼是否進行混淆。 |
預期結果 | APK無法進行反編譯,,如可進行反編譯,,源碼也已進行混淆處理,。 |
備注 | |
測試結果 |
編號 | APP_
SEC_TEST_002 |
---|---|
測試用例名稱 | APK安裝包簽名測試 |
測試目的 | 確認移動APP的安裝包是否進行簽名 |
用例級別 | 高 |
測試條件 | 1、已安裝JDK |
執(zhí)行步驟 | 1,、使用工具jarsigner 對APK包進行驗證 2,、觀察并確認返回結果 |
預期結果 | jar已驗證,即證明安裝包簽名正常,。 |
備注 | |
測試結果 |
編號 | APP_
SEC_TEST_003 |
---|---|
測試用例名稱 | APK文件完整性校驗 |
測試目的 | 驗證APK文件的完整性 |
用例級別 | |
測試條件 | 1,、測試環(huán)境和工具準備完成 |
執(zhí)行步驟 | 1、使用apktool工具對APK包進行反編譯 2,、修改其中的某個文件(如:修改assets目錄下的圖片文件) 3,、使用apktool工具重新打包 4、使用梆梆助手進行再簽名 5,、安裝重新簽名后的APK包 6,、確認是否可正常安裝 |
預期結果 | 不能正常安裝 |
備注 | |
測試結果 | |
編號 | APP_
SEC_TEST_004 |
---|---|
測試用例名稱 | APK包的組件導出安全測試 |
測試目的 | 檢測APK包的activity、Service,、Content Providers,、Broadcast Receivers等組件的攻擊面 |
用例級別 | |
測試條件 | 1、測試環(huán)境和工具準備完成 |
執(zhí)行步驟 | 1,、使用apktool工具對APK包進行反編譯,,獲取AndroidManifest.xml文件 2、使用Drozer進行APK包的攻擊面測試,。 |
預期結果 | 確認不存在配置問題 |
備注 | |
測試結果 |
編號 | APP_
SEC_TEST_005 |
---|---|
測試用例名稱 | 本地敏感信息安全-logcat測試 |
測試目的 | 檢測本地客戶端是否有敏感信息泄露 |
用例級別 | |
測試條件 | 1,、測試環(huán)境和工具準備完成 |
執(zhí)行步驟 | 1、進入模擬器設備(手機)shell界面 2,、操作模擬器中的APP應用(比如:登錄等功能) 3,、執(zhí)行l(wèi)ogcat命令,可根據(jù)關鍵字搜索,如:logcat | grep “keyword” 4,、觀察并分析輸出結果,。 |
預期結果 | 確認不存在敏感信息泄露。 |
備注 | |
測試結果 |
編號 | APP_
SEC_TEST_006 |
---|---|
測試用例名稱 | 本地敏感信息安全-ContentProvider測試 |
測試目的 | 檢測本地客戶端是否有敏感信息泄露 |
用例級別 | |
測試條件 | 1,、測試環(huán)境和工具準備完成 |
執(zhí)行步驟 | 1,、進入模擬器設備(手機)shell界面 2、執(zhí)行l(wèi)ogcat命令,,可根據(jù)關鍵字搜索,如:logcat | grep “keyword” 3,、觀察并分析輸出結果。 |
預期結果 | 確認不存在敏感信息泄露。 |
備注 | |
測試結果 |
編號 | APP_
SEC_TEST_007 |
---|---|
測試用例名稱 | 本地敏感信息安全-Sqlite數(shù)據(jù)庫存儲數(shù)據(jù)測試 |
測試目的 | 檢測本地客戶端是否有敏感信息泄露 |
用例級別 | |
測試條件 | 1,、測試環(huán)境和工具準備完成 |
執(zhí)行步驟 | 1,、進入模擬器設備(手機)shell界面 2、執(zhí)行l(wèi)ogcat命令,,可根據(jù)關鍵字搜索,如:logcat | grep “keyword” 3,、觀察并分析輸出結果。 |
預期結果 | 確認不存在敏感信息泄露,。 |
備注 | |
測試結果 | |
編號 | APP_ SEC_TEST_007 |
---|---|
測試用例名稱 | |
測試目的 | |
用例級別 | |
測試條件 | |
執(zhí)行步驟 | |
預期結果 | |
備注 | |
測試結果 |
正文到此結束
贊 1
賞