文档介绍:手游安全性测试
噜噜
2015-06-23
从传统应用到手游测试
大纲
1 背景
2 传统移动客户端测试
3 移动游戏客户端测试
4 安全培训
背景
安全需求
现状
、pc应用
传统客户端测试框架
客户端安全
源代码安全
数据存储安全
数据传输安全
敏感信息安全
异常处理
增强安全
业务安全
合规安全
重要函数、逻辑、加密算法【是否开启PIE Flag】
/data/data/*、sdcard、
【var/mobile/Applications/-GUID-/*】
传输加密、伪造、服务端验证
硬编码、日志、内存、调式信息、组件
权限、进程保护、内存修改、键盘劫持、第三方SDK
【URLschema、内购破解、Binary patch、Runtime attack】
支付、聊天、交友、游戏
行业合规、安全策略(密码、登陆、会话)
阉割版apk报告
安装包测试
安装包结构
检查代码混淆、硬编码信息
能否反编译
是否进行签名
数据传输测试
关键数据是否加密
检查加密是否可逆、篡改
客户端对服务端验证
数据验证测试
程序是否对数据合法性校验
数据存储测试
是否保存手机号、密码等敏感信息
检查文件、内存、日志敏感信息
日志中是否存在敏感信息
数据能否被别的应用访问
安全增强测试
手机验证码短信接口测试
检查是否遵循业务逻辑
意见反馈接口测试
静态密码测试
进程保护测试
安全策略测试
密码策略测试
登陆次数限制
界面切换清空表单
会话超时重登
Android APP测试工具
安装包测试
安装包结构
Dex2jar、jd-gui、apktool
、baksmali、keytool
能否反编译
是否进行签名
数据传输测试
关键数据是否加密
Tcpdump、”Hook”
客户端对服务端验证
数据验证测试
程序是否对数据合法性校验
数据存储测试
是否保存手机号、密码等