原創(chuàng)

移動(dòng)APP安全測(cè)試用例指南

類別	檢測(cè)項(xiàng)	測(cè)試內(nèi)容
本地客戶端	反編譯	√
	安裝包簽名	√
	應(yīng)用完整性校驗(yàn)	√
	組件導(dǎo)出安全	√
	本地敏感信息安全	√
	鍵盤記錄保護(hù)	√
	拒絕服務(wù)	√
	代碼加固(混淆)	√
	ROOT檢測(cè)	√
通訊安全	敏感信息未加密傳輸	√
	敏感信息加密方式不安全	√
	訪問控制(URL是否只能手機(jī)訪問)	√
	短信重放(抓包工具抓包重放)	√
安全策略設(shè)置	密碼復(fù)雜度策略	√
	認(rèn)證失敗鎖定策略	√
	會(huì)話超時(shí)策略	√
	UI信息泄露	√
	賬號(hào)登錄限制(能否在兩個(gè)設(shè)備上同時(shí)登錄同一個(gè)帳號(hào))	√
	安全退出策略	√
業(yè)務(wù)和服務(wù)器	參考業(yè)務(wù)安全測(cè)試要點(diǎn)和Web安全測(cè)試規(guī)范

編號(hào)	APP_ SEC_TEST_001
測(cè)試用例名稱	APK文件反編譯測(cè)試
測(cè)試目的	確認(rèn)APK文件是否可以進(jìn)行反編譯(是否進(jìn)行安全加固)
用例級(jí)別	高
測(cè)試條件	1,、測(cè)試環(huán)境和測(cè)試工具已準(zhǔn)備好
執(zhí)行步驟	1,、使用工具apktool對(duì)應(yīng)用APK包進(jìn)行反編譯，如可以進(jìn)行第2步驟,。 2,、將APK后綴名改為.rar或則 .zip并解壓，得到classes.dex文件 3,、用dex2jar和classes.dex文件生成classes_dex2jar.jar文件,。 4、用jd-gui打開classes_dex2jar.jar文件,。 5,、確認(rèn)源碼是否進(jìn)行混淆。
預(yù)期結(jié)果	APK無法進(jìn)行反編譯,，如可進(jìn)行反編譯,，源碼也已進(jìn)行混淆處理。
備注
測(cè)試結(jié)果

編號(hào)	APP_ SEC_TEST_002
測(cè)試用例名稱	APK安裝包簽名測(cè)試
測(cè)試目的	確認(rèn)移動(dòng)APP的安裝包是否進(jìn)行簽名
用例級(jí)別	高
測(cè)試條件	1,、已安裝JDK
執(zhí)行步驟	1,、使用工具jarsigner 對(duì)APK包進(jìn)行驗(yàn)證 2,、觀察并確認(rèn)返回結(jié)果
預(yù)期結(jié)果	jar已驗(yàn)證，即證明安裝包簽名正常,。
備注
測(cè)試結(jié)果

編號(hào)	APP_ SEC_TEST_003
測(cè)試用例名稱	APK文件完整性校驗(yàn)
測(cè)試目的	驗(yàn)證APK文件的完整性
用例級(jí)別
測(cè)試條件	1,、測(cè)試環(huán)境和工具準(zhǔn)備完成
執(zhí)行步驟	1、使用apktool工具對(duì)APK包進(jìn)行反編譯 2,、修改其中的某個(gè)文件(如：修改assets目錄下的圖片文件) 3,、使用apktool工具重新打包 4、使用梆梆助手進(jìn)行再簽名 5,、安裝重新簽名后的APK包 6,、確認(rèn)是否可正常安裝
預(yù)期結(jié)果	不能正常安裝
備注
測(cè)試結(jié)果

編號(hào)	APP_ SEC_TEST_004
測(cè)試用例名稱	APK包的組件導(dǎo)出安全測(cè)試
測(cè)試目的	檢測(cè)APK包的activity、Service,、Content Providers,、Broadcast Receivers等組件的攻擊面
用例級(jí)別
測(cè)試條件	1、測(cè)試環(huán)境和工具準(zhǔn)備完成
執(zhí)行步驟	1,、使用apktool工具對(duì)APK包進(jìn)行反編譯,，獲取AndroidManifest.xml文件 2、使用Drozer進(jìn)行APK包的攻擊面測(cè)試,。 3,、根據(jù)Drozer檢測(cè)結(jié)果到AndroidManifest.xml文件進(jìn)行檢查 4、分析檢查結(jié)果,。
預(yù)期結(jié)果	確認(rèn)不存在配置問題
備注
測(cè)試結(jié)果

編號(hào)	APP_ SEC_TEST_005
測(cè)試用例名稱	本地敏感信息安全-logcat測(cè)試
測(cè)試目的	檢測(cè)本地客戶端是否有敏感信息泄露
用例級(jí)別
測(cè)試條件	1、測(cè)試環(huán)境和工具準(zhǔn)備完成
執(zhí)行步驟	1,、進(jìn)入模擬器設(shè)備(手機(jī))shell界面 2,、操作模擬器中的APP應(yīng)用(比如：登錄等功能) 3、執(zhí)行l(wèi)ogcat命令,，可根據(jù)關(guān)鍵字搜索,如：logcat \| grep “keyword” 4,、觀察并分析輸出結(jié)果。
預(yù)期結(jié)果	確認(rèn)不存在敏感信息泄露,。
備注
測(cè)試結(jié)果

編號(hào)	APP_ SEC_TEST_006
測(cè)試用例名稱	本地敏感信息安全-ContentProvider測(cè)試
測(cè)試目的	檢測(cè)本地客戶端是否有敏感信息泄露
用例級(jí)別
測(cè)試條件	1,、測(cè)試環(huán)境和工具準(zhǔn)備完成
執(zhí)行步驟	1、進(jìn)入模擬器設(shè)備(手機(jī))shell界面 2,、執(zhí)行l(wèi)ogcat命令,，可根據(jù)關(guān)鍵字搜索,如：logcat \| grep “keyword” 3、觀察并分析輸出結(jié)果,。
預(yù)期結(jié)果	確認(rèn)不存在敏感信息泄露,。
備注
測(cè)試結(jié)果

編號(hào)	APP_ SEC_TEST_007
測(cè)試用例名稱	本地敏感信息安全-Sqlite數(shù)據(jù)庫存儲(chǔ)數(shù)據(jù)測(cè)試
測(cè)試目的	檢測(cè)本地客戶端是否有敏感信息泄露
用例級(jí)別
測(cè)試條件	1、測(cè)試環(huán)境和工具準(zhǔn)備完成
執(zhí)行步驟	1,、進(jìn)入模擬器設(shè)備(手機(jī))shell界面 2,、執(zhí)行l(wèi)ogcat命令,，可根據(jù)關(guān)鍵字搜索,如：logcat \| grep “keyword” 3、觀察并分析輸出結(jié)果,。
預(yù)期結(jié)果	確認(rèn)不存在敏感信息泄露,。
備注
測(cè)試結(jié)果

====================未完待續(xù)============================

正文到此結(jié)束

本文標(biāo)簽： 安全測(cè)試 APP
版權(quán)聲明： 本站原創(chuàng)文章，于2021年09月16日由小蜜蜂社區(qū)發(fā)布,，轉(zhuǎn)載請(qǐng)注明出處