Android app安全性能测试

1.安装包测试

（1）可否反编译代码（源代码泄露问题）：

开发：对代码进行混淆；测试：使用反编译工具进行查看源代码，是否进行代码混淆，是否包括了显而易见的敏感信息

（2）安装包是否签名(ios重app有正式的发布证书签名，没必要考虑)：须要在发布前验证一下签名使用的key是否正确，以防被恶意第三方应用覆盖安装

（3）完整性校验：检查文件的md5值

（4）权限设置检查（增长新权限须要进行评估）：android检查manifest文件读取应用所需的所有权限

2.敏感信息测试

（1）数据库是否存储敏感信息：须要对各个数据库字段含义进行了解，并评估其中可能的安全问题；在跑完一个包含数据库操做的测试用例，咱们可直接查看数据库里的数据，观察是否有敏感信息须要在用户进行注销操做后删除，若师是cookie类数据，建议设置合理的过时时间。

（2）日志中是否存在敏感信息：若发布版本中包含日志应用，在测试须要关注日志中是否包含敏感信息。

（3）配置文件是否存在敏感信息（与日志类似）

3.软键盘劫持：金融app登录界面的用户名密码输入框，看是否输入支持第三方输入法。对于很是敏感的输入，通常建议使用应用内的软键盘或至少提供用户这一选项；

4.帐户安全（用户帐户的安全）

（1）密码是否明文存储：在后台数据库：在评审和测试中须要关注密码的存储

（2）密码传输是否加密：须要查看密码是否被明文传输

（3）帐户锁定策略：对于用户输入错误密码次数过多的状况，一些应用将会临时锁定；后台对每一个帐户作次数限制可能会引发全部帐号都被策略锁定。

（4）同时会话：应用对同时会话会有通知功能；

（5）注销机制：客户端注销后，须要验证任何的来自该用户身份验证的接口调用都不能调用成功

5.数据通讯安全

（1）关键数据是否散列或加密：敏感信息在传输前须要进行散列或加密。

（2）关键链接是否使用安全通讯:在获知接口设计后须要评估其中内容是否包含敏感信息。

（3）是否对数字证书合法性进行验证：fiddle工具模拟中间人攻击方法

（4）是否验证数据合法性

开发:对数据进行数字签名并在客户端进行相关校验

测试：可模拟后台返回进行相关测试工做

（5）组件安全测试（android被外部应用恶意调用）测试：drozer工具

6.环境相关测试

（1）干扰测试:a收到电话 b收到短信（考虑通知栏消息是否覆盖掉界面上信息） c收到通知栏消息 d无电低电量提示框弹出 e第三方安全软件告警框 弹出

（2）权限测试：开发在提测时提供一个须要的权限列表

（3）边界状况：a可用存储空间过少 b没有SD卡/双SD卡 c飞行模式 d系统时间有误 e第三方依赖

TestBird