怎么去测试一个 app 是否存在安全问题?App 层面上,什么类型的才算得上是一个安全漏洞?
第一:这个app应用是否能真正保护用户的隐私不会被窃取;这点也是最重要的,相信大多数人也都反感自己的资料被广告商所贩卖吧!
第二:测试这个app本身是否存在漏洞?容易被手机病毒入侵,导致手机数据丢失或者手机系统被破坏;
第三:运行过程中会不会出现突然闪退的情况?如果这个app有交易功能那么他的交易接口是否安全,会不会被劫持,造成资金的损失。
所以这类安全性测试,是app专项测试中必须要做的一环,现在由必安全实验室的专业测试人员来给大家简单列举下目前常做的测试类别:
1. 用户隐私
检查是否在本地保存用户密码,无论加密与否
检查敏感的隐私信息,如聊天记录、关系链、银行账号等是否进行加密
检查是否将系统文件、配置文件明文保存在外部设备上
部分需要存储到外部设备的信息,需要每次使用前都判断信息是否被篡改
2. 文件权限
检查App所在的目录,其权限必须为不允许其他组成员读写
3. 网络通讯
检查敏感信息在网络传输中是否做了加密处理,重要数据要采用TLS或者SSL
4. 运行时解释保护
对于嵌有解释器的软件,检查是否存在XSS、SQL注入漏洞
使用webiew的App,检查是否存在URL欺骗漏洞
5. Android组件权限保护
禁止App内部组件被任意第三方程序调用。
若需要供外部调用的组件,应检查对调用者是否做了签名限制
6. 升级
检查是否对升级包的完整性、合法性进行了校验,避免升级包被劫持
7. 3rd库
如果使用了第三方库,需要跟进第三方库的更新
然而,对于个人用户、独立开发者、没资金的创业开发团队来说,不懂技术没有专业人员但是又比较在意手机应用APP的安全性能该怎么办?一个免费的在线APP检测平台是你们必须知道的!这里就给大家介绍一个亲测免费的专业移动应用安全平台:
必安全APPBeSafe
由北京鼎源科技联合北京理工大学共同建立的移动应用安全基地推出的线上移动应用安全平台
第一步:当然是进入必安全网站,然后在栏目页上选择安全检测栏目
第二步:注册一个账号,一般个人用户的话,所需也就是手机号 身份证 和证件照,关于这点可以理解,比较对于平台来说,无法确保测试者所检测的APP是否自己的,以及相关用途,可以通过这种方式,给大家提个醒。
第三步:注册完成进入个人的会员中心,左边栏目条可以看到很多选项,选择“检测记录”则会看到上图的界面,如果想继续下去,那么你需要去找一个需要检测的目标apk
第四部:首先我们去一个正规的手机应用下载渠道,选择目标应用的apk,现在选择的这个APP应用则是下载量接近3500万次平台内排名前十的应用,我们把它的apk下载到电脑上
第五步:续接上面第三个步奏,把已经下载好的apk传到必安全平台上,上传速度视个人网速和apk的大小不同,一般都能在一两分钟内上传完毕。
第六步:上传完成选择提交应用,后面完全就不需要操作什么,平台会给出一个友善的提示后转入“检测记录”页面,这里可以看到刚刚检测过apk的状态,也能看到之前检测过的记录。检测过程很快,说话间已经检测完成。
最后:检测完成后,可以在操作项下选择详情,简略的得出目标apk的漏洞数量和安全性评级。如果需要详细知道这些漏洞如何得出的,那么可以选择“下载安全检测报告”然后会得到一份以apk名称的检测报告,整个的测试项目和分析报告,全部涵盖,是不是很有逼格!
