安全测试要点

1.安装包测试:反编译、签名、完整性校验、权限检查

2.敏感信息测试:数据库、日志、配置文件

3.软键盘劫持:敏感的输入地方可以做检查

4.账户安全:密码安全、账户锁定、同时会话

5.数据通信安全

6.组件安全

7.接口测试:SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造、越权访问

本小节转载于:APP安全测试点概述_Melody20210917的博客-CSDN博客_app安全测试一. APP安全测试测试点概述1.安装包测试1.1关于反编译目的保护公司知识产权和安全方面的考虑,程序员会在源码中编译一些敏感信息,如密码。一旦泄露安全隐患巨大。为了避免这些问题,测试中,我们可以直接使用反编译工具(dex2.jar和jd-gui工具)查看源代码,判断研发是否对代码做了混淆,包含显而易见的敏感信息。1.2关于签名这点IOS不用考虑,因为APP Store会做校验。但Android没有此类权威检查,我们需要在发布前校验一下签名使用的key是否正确,以防被恶意第三方应https://blog.csdn.net/chenjuan0530/article/details/107445438

mobsf安装、启动

centos7,采用docker安装

  • 下载mobsf镜像
docker pull opensecurity/mobile-security-framework-mobsf
  • 启动容器实例
docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest
  • 访问http://host:8000

host为服务部署的主机IP

静态测试报告

mobsf,app安全测试相关推荐

  1. 10款移动app安全测试工具推荐

    移动互联网时代,我们的生活和工作深受 App 影响.伴随移动 App 的广泛应用,App 安全日益重要.本文介绍了 App 开发可能用到的安全测试工具. 当今,全球移动用户大约超过37亿.Google ...

  2. android应用测试指南下载,App安全测试指南(一)

    本文仅作学习记录,如有侵权,请联系删除! 前言: App渗透我几乎没有了解过,于是找了几个相关的app安全检测的pdf文件来学习学习 APP渗透测试要点: APK文件结构: 1.Assets目录:用来 ...

  3. 这10款App安全测试工具应该能帮到你很多

    移动互联网时代,我们的生活和工作深受 App 影响.伴随移动 App 的广泛应用,App 安全日益重要.本文介绍了 App开发可能用到的安全测试工具. 当今,全球移动用户大约超过37亿.Google ...

  4. axt测试软件,【测试工具】这些APP实用测试工具,不知道你就out了!

    本期,我将给大家介绍14款实用的测试工具,希望能够帮到大家!(建议收藏) UI自动化测试工具 1. uiautomator2 Github地址:https://github.com/openatx/u ...

  5. android应用测试机型,app兼容测试选择哪些机型才够全面呢?

    原标题:app兼容测试选择哪些机型才够全面呢? 各位搜狗测试的小伙伴们,我们又相遇在一个美好的周末了,今天让我们一起讨论一下如何选择兼容机型. 01 首先,我们先了解一下什么是兼容测试,兼容测试的表现 ...

  6. android 稳定性测试工具,APP 稳定性测试工具-Fastbot_Android详解

    基于monkey的二次开发,约束monkey的行为,比monkey更智能. 写在开始 monkey测试的随机性概率过大,导致其效率并不能达到预期.有时可能遍历了很久,依旧与最有可能发生问题的部分擦肩而 ...

  7. 【干货】移动APP安全测试要点解析

    随着运营商新技术新业务的发展,运营商集团层面对安全的要求有所变化,渗透测试工作将会面临内容安全.计费安全.客户信息安全.业务逻辑及APP等方面的挑战.随着运营商自主开发的移动APP越来越多,这些APP ...

  8. monkey测试_爱码小士丨 APP稳定性测试(附视频详解)

    在实际的测试过程中,主要是对系统的功能来进行测试,用于校验功能的正确性 还需要考虑到系统在未修改的状态下,是否能够稳定运行,即崩溃.闪退.重启.系统异常等等等地情况 在APP中,稳定性测试一般是交由M ...

  9. [原创]浅谈移动互联网App兼容性测试

    [原创]浅谈移动互联网App兼容性测试 今天要谈的话题,估计各位测试都有感受,移动互联网App兼容性测试,我们到底测试覆盖如何去挑选机型?具体移动App兼容性测试如何开展?是不是应引进像testin这 ...

最新文章

  1. mysql 字段授权_mysql授权管理
  2. java thread setname_Java Thread setName()方法
  3. 如何添加数据到session中
  4. SQL删除数据delete
  5. Python类对象的运算符add重载
  6. 技术开发者该如何开展小团队的微服务之路?
  7. 2016 Multi-University Training Contests
  8. cmd合并多个ts文件,ffmpeg快速转ts为mp4文件,通过m3u8合并文件
  9. 一款好用且开源的图像处理软件----imageJ
  10. BoundsChecker 使用方法
  11. Chrome插件开发练习 - 还未完成
  12. TOM邮箱容量满了收发不了邮件?你应该快速做到这些事
  13. nginx + tomcat 504 解决方案
  14. WordPress 搭建超级好看的主题博客
  15. Android——仿淘宝头条垂直滚动广告
  16. 全球及中国芯片产业研发方向与投资规模预测报告2022版
  17. Android无线热点默认属性修改
  18. 酷睿i7 12700h参数 i712700h属于什么级别
  19. 魔兽世界运营时间线timeLine(2004-2014)
  20. 入门IOS客户端开发(一)

热门文章

  1. 阿里云的一些易混概念整理
  2. AMAX服务器双系统的linux系统root密码重置
  3. JavaScript奇淫技巧:压缩并加密图片
  4. 魅族推荐平台架构解析(二)
  5. Java 重写paint绘图
  6. Java虚拟机常用命令
  7. ubuntu linux设置中文,Ubuntu15.04设置中文语言
  8. Prime 求最小生成树(C++基础算法)
  9. matlab画柱坐标系,[合集]有人知道怎样用matlab画柱坐标3维图 - 程序设计(Programming)版 - 北大未名BBS...
  10. 数据分析算法-决策树(下)-课堂学习笔记