Android安全测试思路
2021-07-07 11:18:39 1 举报AI智能生成
Android安全测试思路
作者其他创作
大纲/内容
客户端APP安全
反编译
APP加密或者代码混淆或者加壳处理
防二次打包
验证APP签名
获取二次打包后APP的签名与正确的AP签名进行对比
组件导出
Ativity组件
检测组件是否可以被外部应用调用
Service组件
检测组件是否可以被外部应用调用
content provider组件
检测组件是否可以被外部应用调用
Broadcast receiver组件
检测组件是否可以被外部应用
数据安全
APP所在目录的文件权限
APP所在目录文件其他组成员不可读写
SQLite数据库文件的安全性
重要信息进行加密存储
Logcat日志
具有敏感信息的调试信息开关一定要关闭
敏感数据存储SDcard
敏感数据不要存储在SDcard上面
APP本地数据存储,是否存有敏感信息,例如sessim、toke、账号等
键盘安全
键盘劫持
客户端开发自定义软键盘防止键盘劫持攻击
使用随机布局的软键盘
客户端对自定义软键盘进行随机化处理
屏幕截屏
防止通过连续截图,捕捉到用户密码输入框的密码
界面劫持
防止activity被劫持
本地拒绝服务
使用try catch方式进行捕获所有异常,以防止应用出现拒绝服务
webview安全风险
任意代码执行漏洞
密码明文存储握洞
应用数据可备份
APP的ArdroidManifest.xml中allowbackup属性设置为False
debug调试
关闭debug调试功能
服务端安全
安全策略
密码复杂度策略
密码策珞要满足复杂度要求,不允许设置弱密码
认证失败锁定策略
连续认证失败3次或者5次锁定账号
单点登录限制策略
同一时间只允许一个账号在一个地方登陆
会话超时策略
设置会话超时时间,例如30分钟
UI敏感信息安全
账号和密码输入错误时均提示“账号或密码错误”
安全退出
客户端在用户退出登录时,服务端要及时清除掉session
密码修改验证
密码修改需要有对前密码的认证
验证码
验证码只能用一次,用完即失效
验证码有效期限制,例如5分钟或者10分钟内有效
业务安全
任意账号注册
短信重放攻击
越权漏洞
业务垂直越权
业务平行越权
veb应用常见漏洞:例如SQL注入、XSS、上传、任意文件下载等等
通信安全
通信保密性
通过抓包工具查看客户端APP和脂务端通信是否采用https通信
中间人攻击
强校验:客户瑞预存一份服务端证书或者证书的HD5,判断服务谍证书和本地保持的一致。
弱校验:客户端校验服务瑞证书域名﹑颁发机构、过期时间
访问控制
客户端访问的URL是否仅能由手机客户端访问
0 条评论
下一页
