目前android應用的安全現狀,隨著android應用的快速暴漲,相應的漏洞也逐漸增加��。同時����,市場上也出現了專業的android應用測試工具:一般測試的過程如下:
安裝包測試
安裝包結構��、能不反編譯出源代碼、安裝包是否簽名����、重要函數���、邏輯���、加密算法�����、是否開啟PIEFlag。
數據傳輸測試
關鍵數據是否加密、客戶端對服務器驗證����、傳輸加密�、偽造;通過設置代理或使用第三方抓包工具��,對應用發送與接收的數據包進行截獲���、重發��、編輯、轉存等惡意操作���。
數據驗證測試
程序是否對數據合法性校驗,檢查加密是否可逆�����,可攥改��。程序是否對數據合法性進行了校驗����。
數據存儲測試
是否保存手機號���、密碼等敏感信息���、日志中是否存敏感信息��、數據是否被別的應用訪問���、硬編碼����、日志�����、內存���、調試信息���、組件Keychain��、屏幕快照、鍵盤存儲。
安全增強測試
從服務端安全����、鍵盤劫持�����、進程保護�����、第三方SDK安全檢測�。
安全策略測試
密碼策略���、登陸次數�、密碼保護機制、會話保護策略�。
推薦閱讀:
sales@spasvo.com
