安裝包安全性
1、反編譯
目的是為了保護公司的知識產權和安全方面的考慮等,一些程序開發人員會在源碼中硬編碼一些敏感信息,如密碼。而且若程序內部一些設計欠佳的邏輯,也可能隱含漏洞,一旦源碼泄漏,安全隱患巨大。
為了避免這些問題,除了代碼審核外,通常開發的做法是對代碼進行混淆,混淆后源代碼通過反軟件生成的源代碼是很難讀懂的。
2、簽名
這點IOS可以不用考慮,因為APP stroe都會校驗。但Android沒有此類權威檢查,我們要在發布前校驗一下簽名使用的key是否正確,以防被惡意第三方應用覆蓋安裝等。可使用下列命令檢查:
jarsigner -verify -verbose -certs apk包路徑
若結果為“jar 已驗證”,說明簽名校驗成功。
3、完整性校驗
為確保安裝包不會在測試完成到最終交付過程中因為某些原因發生文件損壞,需要對安裝包進行完整性校驗,通常做法是檢查文件的md5值。
數據安全性
1、數據庫
數據庫是否存儲敏感信息,某些應用會把cookie類數據保存在數據庫中,一旦此數據被他人獲取,可能造成用戶賬戶被盜用等嚴重問題,測試中在跑完一個包含數據庫操作的測試用例后,我們可以直接查看數據庫里的數據,觀察是否有敏感信息存儲在內。一般來說這些敏感信息需要用戶進行注銷操作后刪除。如果是cookie類數據,建議設置合理的過期時間。
2、日志
日志是否存在敏感信息,一般開發在寫程序的過程中會加入日志幫助高度,所有可能會寫入一些敏感信息,通常APP的發布版不會使用日志,但也不排除特殊情況。
3、配置文件
配置文件是否存在敏感信息,與日志類似,我們需要檢查配置文件中是否包含敏感信息。
推薦閱讀:
sales@spasvo.com
