有关APP产品安全测试的几点思考
关于APP产品的一些安全测试点:
- 安装包测试
- 能否反编译代码
一旦有源代码泄露公司的知识产权会受到影响,而且还有安全风险。测试中我们直接使用反编译工具查看源代码,看是否有敏感信息泄露,是否进行了代码混淆。(Android平台常用的反编译工具是的dex2jar和jd-gui) - 安装包是否有签名
主要针对Android平台(App Store会校验APP是否为合法开发者发布的),因为Android平台的发布渠道多种多样,没有权威检查,在版本发布前我们要校验一下签名使用的key是否正确
jarsigner -verify -verbose -cert apk包路径
如果上述命令运行结果显示”jar已验证“,说明签名校验成功 - 完整性校验
防止安装包在交付过程中出现文件损坏,需要为安装包进行完整性校验,通常是检查文件md5值,一般通过自动化校验 - 权限设置检查
App申请某些特定权限时进行检查,如访问通讯录、照片等。
- 敏感信息测试
(未完待续...)