APP渗透
2021-06-02 11:24:54 1 举报AI智能生成
APP渗透
作者其他创作
大纲/内容
APP渗透
软件权限
APP所在目录,其他组成员不可读写
对APP输入有效性检验、认证、授权、数据加密等进行检测
APP用户授权级别、数据泄密、非法授权访问等检测
3rd库
若使用第三方库,应跟踪第三方库的更新
内容测试
输入框说明文字是否与系统功能一致
文字长度是否加以限制
文字内容是否表意不明
运行时解释保护
对嵌有解释器的软件,检测是否存在xss、sql注入漏洞
使用webview的app,检测是否存在url漏洞
网络通信
数据传输需加密,TLS或SSL
用户隐私
本地密码保存检测
敏感隐私信息检测
检查系统、配置文件明文保存在外部设备
存储至外部设备信息取用每次需要检查是否被篡改
隐私泄露风险
数据安全性测试
密码不可为明文显示
密码、信用卡或其他敏感数据不存储在预输入的位置上
个人身份或密码长度4-8位之间
升级
对升级包的完整性、合法性进行检验
APP组件权限保护
禁止APP组件被第三方任意调用
第三方调用是否有做签名限制
0 条评论
下一页
