有关APP产品安全测试的几点思考

关于APP产品的一些安全测试点：

• 安装包测试

1. 能否反编译代码
   
   一旦有源代码泄露公司的知识产权会受到影响，而且还有安全风险。测试中我们直接使用反编译工具查看源代码，看是否有敏感信息泄露，是否进行了代码混淆。（Android平台常用的反编译工具是的dex2jar和jd-gui）
   
   
2. 安装包是否有签名
   
   主要针对Android平台（App Store会校验APP是否为合法开发者发布的），因为Android平台的发布渠道多种多样，没有权威检查，在版本发布前我们要校验一下签名使用的key是否正确
   
   

   jarsigner -verify -verbose -cert apk包路径

   
   如果上述命令运行结果显示”jar已验证“，说明签名校验成功
   
   

3. 完整性校验
   
   防止安装包在交付过程中出现文件损坏，需要为安装包进行完整性校验，通常是检查文件md5值，一般通过自动化校验
   
   
4. 权限设置检查
   
   App申请某些特定权限时进行检查，如访问通讯录、照片等。
   
   

• 敏感信息测试
  
  （未完待续...）