怎么去測(cè)試一個(gè) app 是否存在安全問(wèn)題?App 層面上,什么類型的才算得上是一個(gè)安全漏洞?
第一:這個(gè)app應(yīng)用是否能真正保護(hù)用戶的隱私不會(huì)被竊取;這點(diǎn)也是最重要的,相信大多數(shù)人也都反感自己的資料被廣告商所販賣吧!
第二:測(cè)試這個(gè)app本身是否存在漏洞?容易被手機(jī)病毒入侵,導(dǎo)致手機(jī)數(shù)據(jù)丟失或者手機(jī)系統(tǒng)被破壞;
第三:運(yùn)行過(guò)程中會(huì)不會(huì)出現(xiàn)突然閃退的情況?如果這個(gè)app有交易功能那么他的交易接口是否安全,會(huì)不會(huì)被劫持,造成資金的損失。
所以這類安全性測(cè)試,是app專項(xiàng)測(cè)試中必須要做的一環(huán),現(xiàn)在由必安全實(shí)驗(yàn)室的專業(yè)測(cè)試人員來(lái)給大家簡(jiǎn)單列舉下目前常做的測(cè)試類別:
1. 用戶隱私
檢查是否在本地保存用戶密碼,無(wú)論加密與否
檢查敏感的隱私信息,如聊天記錄、關(guān)系鏈、銀行賬號(hào)等是否進(jìn)行加密
檢查是否將系統(tǒng)文件、配置文件明文保存在外部設(shè)備上
部分需要存儲(chǔ)到外部設(shè)備的信息,需要每次使用前都判斷信息是否被篡改
2. 文件權(quán)限
檢查App所在的目錄,其權(quán)限必須為不允許其他組成員讀寫
3. 網(wǎng)絡(luò)通訊
檢查敏感信息在網(wǎng)絡(luò)傳輸中是否做了加密處理,重要數(shù)據(jù)要采用TLS或者SSL
4. 運(yùn)行時(shí)解釋保護(hù)
對(duì)于嵌有解釋器的軟件,檢查是否存在XSS、SQL注入漏洞
使用webiew的App,檢查是否存在URL欺騙漏洞
5. Android組件權(quán)限保護(hù)
禁止App內(nèi)部組件被任意第三方程序調(diào)用。
若需要供外部調(diào)用的組件,應(yīng)檢查對(duì)調(diào)用者是否做了簽名限制
6. 升級(jí)
檢查是否對(duì)升級(jí)包的完整性、合法性進(jìn)行了校驗(yàn),避免升級(jí)包被劫持
7. 3rd庫(kù)
如果使用了第三方庫(kù),需要跟進(jìn)第三方庫(kù)的更新
然而,對(duì)于個(gè)人用戶、獨(dú)立開(kāi)發(fā)者、沒(méi)資金的創(chuàng)業(yè)開(kāi)發(fā)團(tuán)隊(duì)來(lái)說(shuō),不懂技術(shù)沒(méi)有專業(yè)人員但是又比較在意手機(jī)應(yīng)用APP的安全性能該怎么辦?一個(gè)免費(fèi)的在線APP檢測(cè)平臺(tái)是你們必須知道的!這里就給大家介紹一個(gè)親測(cè)免費(fèi)的專業(yè)移動(dòng)應(yīng)用安全平臺(tái):
必安全APPBeSafe
由北京鼎源科技聯(lián)合北京理工大學(xué)共同建立的移動(dòng)應(yīng)用安全基地推出的線上移動(dòng)應(yīng)用安全平臺(tái)
第一步:當(dāng)然是進(jìn)入必安全網(wǎng)站,然后在欄目頁(yè)上選擇安全檢測(cè)欄目
第二步:注冊(cè)一個(gè)賬號(hào),一般個(gè)人用戶的話,所需也就是手機(jī)號(hào) 身份證 和證件照,關(guān)于這點(diǎn)可以理解,比較對(duì)于平臺(tái)來(lái)說(shuō),無(wú)法確保測(cè)試者所檢測(cè)的APP是否自己的,以及相關(guān)用途,可以通過(guò)這種方式,給大家提個(gè)醒。
第三步:注冊(cè)完成進(jìn)入個(gè)人的會(huì)員中心,左邊欄目條可以看到很多選項(xiàng),選擇“檢測(cè)記錄”則會(huì)看到上圖的界面,如果想繼續(xù)下去,那么你需要去找一個(gè)需要檢測(cè)的目標(biāo)apk
第四部:首先我們?nèi)ヒ粋€(gè)正規(guī)的手機(jī)應(yīng)用下載渠道,選擇目標(biāo)應(yīng)用的apk,現(xiàn)在選擇的這個(gè)APP應(yīng)用則是下載量接近3500萬(wàn)次平臺(tái)內(nèi)排名前十的應(yīng)用,我們把它的apk下載到電腦上
第五步:續(xù)接上面第三個(gè)步奏,把已經(jīng)下載好的apk傳到必安全平臺(tái)上,上傳速度視個(gè)人網(wǎng)速和apk的大小不同,一般都能在一兩分鐘內(nèi)上傳完畢。
第六步:上傳完成選擇提交應(yīng)用,后面完全就不需要操作什么,平臺(tái)會(huì)給出一個(gè)友善的提示后轉(zhuǎn)入“檢測(cè)記錄”頁(yè)面,這里可以看到剛剛檢測(cè)過(guò)apk的狀態(tài),也能看到之前檢測(cè)過(guò)的記錄。檢測(cè)過(guò)程很快,說(shuō)話間已經(jīng)檢測(cè)完成。
最后:檢測(cè)完成后,可以在操作項(xiàng)下選擇詳情,簡(jiǎn)略的得出目標(biāo)apk的漏洞數(shù)量和安全性評(píng)級(jí)。如果需要詳細(xì)知道這些漏洞如何得出的,那么可以選擇“下載安全檢測(cè)報(bào)告”然后會(huì)得到一份以apk名稱的檢測(cè)報(bào)告,整個(gè)的測(cè)試項(xiàng)目和分析報(bào)告,全部涵蓋,是不是很有逼格!