文档介绍:APP测试实施总结方案
APP测试实施总结方案
1
APP测试实施总结方案
搬动APP安全评估
范围
开发单位兼备建设的 1款搬动APP软件(包括APP内嵌的安卓
版和IOS版应用)以及APP管理平台。
推行内容
随着互联网时代的到来,智妙手机和 iPad等搬动终端设备越来
越普及,人们逐渐习惯了使用应用客户端上网的方式, 而智能终端的
普及不但推动了搬动互联网的发展,也带来了搬动应用 APP的爆炸
式增添。这些海量的 APP可能会面对以下威胁:
图搬动APP面对的威胁
随着智能终端的不断普及,国内智妙手机用户已经高出 5亿,作
为第一大系统平台的 Android上,各样apk应用数量也在飞速增添。
在应用数量和APP应用种类丌断扩大的同时,Android作为一个开放
系统,各样应用安全问题也丌断的涌现,比方安装包逆向反编译,恶
意代码注入,应用盗版,界面挟持,短信挟持,丌仁开发者的知识版
权也无法获取保证,而丏还会以致用户的信息泄露甚至经济损失。 手
机应用的安全需求,已经成为整个应用市场发展面对的一个主要问题。
诚然获知当前应用市场的安全现状,但由于手机应用安全的与业性,一般开发者和用户可能无法全面认识到apk中的安全风险和漏洞,难以对手机应用安全作出深入的评估解析,更加无法对其中的安全问题逐一解决,而与业的移劢应用安全工程师人才罕见幵丏成本较高,无法满足应用开发的本质需求。
以AndroidAPP为例,其安全问题不容乐观。从漏洞种类来看,
AndroidAPP漏洞中排在首位的是 sql注入类漏洞,%,其次
是webview漏洞,%,见图。从漏洞风险级别来看,Android
APP中高危漏洞占 %,%,其中高危漏洞主要集
中在webview系列和https证书未校验上。%,
APP测试实施总结方案
APP测试实施总结方案
2
APP测试实施总结方案
主若是代码中未过滤用户输入,攻击者可经过提交恶意
�
SQL
�
盘问语
APP测试实施总结方案
APP测试实施总结方案
9
APP测试实施总结方案
句达到其作恶目的。
�
SQL注入虽大部分属于中低危漏洞,
�
但仍可造成
APP测试实施总结方案
APP测试实施总结方案
9
APP测试实施总结方案
敏感数据、系统最高权限被盗取等问题。 webview的一些高危漏洞,
主要由代码中使用 addJavascriptInterface等危险函数、使用不校考据
书等因素以致。这些漏洞可远程执行代码,对用户远程安装恶意软件。
Https 相 关 的 高 危 漏 洞 , 主 要 由 https 使 用
ALLOW_ALL_HOSTNAME_VERIFIER 等参数校考据书,没有对主
机等信息进行校验以致,这些漏洞会惹起攻击者轻易挟持 https会话、
嗅探用户密码和其他敏感信息等问题。
图AndroidAPP漏洞种类占比图
Androidapp的漏洞种类很多,如SQL注入、webview系列漏洞、
文件模式配置错误、HTTPS不校考据书、拒绝服务攻击等,造成漏
洞的原因可以概括为以下两类:
1)APP开发者自己的问题
编码不规范
很多公司对编码规范没有要求,或 APP开发者没有依照编码规
范来进行编码,简单以致敏感信息泄露,比方日志打印问题、在刊行
版本中没相关闭日志打印功能等。
APP测试实施总结方案
APP测试实施总结方案
9
APP测试实施总结方案
安全意识不够
很多android函数的参数需慎用,如常用函数openFileOutput,若是设置mode参数为也许
,就简单泄露androidapp的数
据。别的,接口办理需要更加慎重,比方裸露了一个接口,赞同运行
用户输入的信息,若对信息未做任何办理,就简单惹起拒绝服务攻击
等安全问题。
2)Android上0day的发现
Android上0day的发现,可以致AndroidAPP以前安全的功能变
得不安全,在Android系统没有补丁的情况下,需及时在AndroidAPP
上打补丁,但鉴于很多AndroidAPP开发者对漏洞信息不敏感等原因,
并未做到及时维修,从而以致漏洞的存在。
计划投入6名技术人员到搬动 APP安全评估中,并由省重点实验
室的专家团队负责推行过程中技术问题的咨询与指导。由一名拥有
年以上信息安全方面工作经验的高级工程师作为项目经理