今年开始接触安全测试,也只是一些APP安全测试的皮毛,用以回忆使用过程:
1.利用Fortify SCA工具进行静态代码扫描(其中可以扫描出来很多的安全问题,其问题和解决方法在网络上都可以查看到)
2.执行安全测试用例(当然这些测试用例涉及的点如下3,通过一些通俗的话写出来的)
3.安全测试涉及的点:
1). 口令,账号
2).认证
3).会话管理
4).异常处理
5).权限
6).输入校验
7).输出编码
8).敏感数据保护
9).隐私保护
10).协议与接口防护
11).软件完整性保护
12).防范攻击
13).密码算法
14).代码注释
15).日志管理与审计
4.安全测试所需工具:Drozer、DDMS、SDK、jdk、Tcpdump、Wireshark、notepad++、sourceinsight、Fortify、反编译所需工具、杀毒软件。
5、具体每种工具对安全测试的使用过程后续分工具来写。
