怎么去測試一個 app 是否存在安全問題?App 層面上,什么類型的才算得上是一個安全漏洞?
第一:這個app應用是否能真正保護用戶的隱私不會被竊??;這點也是最重要的,相信大多數(shù)人也都反感自己的資料被廣告商所販賣吧!
第二:測試這個app本身是否存在漏洞?容易被手機病毒入侵,導致手機數(shù)據(jù)丟失或者手機系統(tǒng)被破壞;
第三:運行過程中會不會出現(xiàn)突然閃退的情況?如果這個app有交易功能那么他的交易接口是否安全,會不會被劫持,造成資金的損失。
所以這類安全性測試,是app專項測試中必須要做的一環(huán),現(xiàn)在由必安全實驗室的專業(yè)測試人員來給大家簡單列舉下目前常做的測試類別:
1. 用戶隱私
檢查是否在本地保存用戶密碼,無論加密與否
檢查敏感的隱私信息,如聊天記錄、關系鏈、銀行賬號等是否進行加密
檢查是否將系統(tǒng)文件、配置文件明文保存在外部設備上
部分需要存儲到外部設備的信息,需要每次使用前都判斷信息是否被篡改
2. 文件權限
檢查App所在的目錄,其權限必須為不允許其他組成員讀寫
3. 網(wǎng)絡通訊
檢查敏感信息在網(wǎng)絡傳輸中是否做了加密處理,重要數(shù)據(jù)要采用TLS或者SSL
4. 運行時解釋保護
對于嵌有解釋器的軟件,檢查是否存在XSS、SQL注入漏洞
使用webiew的App,檢查是否存在URL欺騙漏洞
5. Android組件權限保護
禁止App內(nèi)部組件被任意第三方程序調用。
若需要供外部調用的組件,應檢查對調用者是否做了簽名限制
6. 升級
檢查是否對升級包的完整性、合法性進行了校驗,避免升級包被劫持
7. 3rd庫
如果使用了第三方庫,需要跟進第三方庫的更新
然而,對于個人用戶、獨立開發(fā)者、沒資金的創(chuàng)業(yè)開發(fā)團隊來說,不懂技術沒有專業(yè)人員但是又比較在意手機應用APP的安全性能該怎么辦?一個免費的在線APP檢測平臺是你們必須知道的!這里就給大家介紹一個親測免費的專業(yè)移動應用安全平臺:
必安全APPBeSafe
由北京鼎源科技聯(lián)合北京理工大學共同建立的移動應用安全基地推出的線上移動應用安全平臺
第一步:當然是進入必安全網(wǎng)站,然后在欄目頁上選擇安全檢測欄目
第二步:注冊一個賬號,一般個人用戶的話,所需也就是手機號 身份證 和證件照,關于這點可以理解,比較對于平臺來說,無法確保測試者所檢測的APP是否自己的,以及相關用途,可以通過這種方式,給大家提個醒。
第三步:注冊完成進入個人的會員中心,左邊欄目條可以看到很多選項,選擇“檢測記錄”則會看到上圖的界面,如果想繼續(xù)下去,那么你需要去找一個需要檢測的目標apk
第四部:首先我們?nèi)ヒ粋€正規(guī)的手機應用下載渠道,選擇目標應用的apk,現(xiàn)在選擇的這個APP應用則是下載量接近3500萬次平臺內(nèi)排名前十的應用,我們把它的apk下載到電腦上
第五步:續(xù)接上面第三個步奏,把已經(jīng)下載好的apk傳到必安全平臺上,上傳速度視個人網(wǎng)速和apk的大小不同,一般都能在一兩分鐘內(nèi)上傳完畢。
第六步:上傳完成選擇提交應用,后面完全就不需要操作什么,平臺會給出一個友善的提示后轉入“檢測記錄”頁面,這里可以看到剛剛檢測過apk的狀態(tài),也能看到之前檢測過的記錄。檢測過程很快,說話間已經(jīng)檢測完成。
最后:檢測完成后,可以在操作項下選擇詳情,簡略的得出目標apk的漏洞數(shù)量和安全性評級。如果需要詳細知道這些漏洞如何得出的,那么可以選擇“下載安全檢測報告”然后會得到一份以apk名稱的檢測報告,整個的測試項目和分析報告,全部涵蓋,是不是很有逼格!