Android安全测试

Android安全测试

目录

• 1、客户端APP安全
• 2、服务端安全
• 3、通信安全（通信保密性）

1、客户端APP安全

（1）反编译-APP加密或者代码混淆或者加壳处理

（2）防二次打包-验证APP签名-获取二次打包后APP的签名与正确的AP签名进行对比

（3）组件导出

Ativity组件-检测组件是否可以被外部应用调用

Service组件-检测组件是否可以被外部应用调用

content provider组件-检测组件是否可以被外部应用调用

Broadcast receiver组件-检测组件是否可以被外部应用

（4）数据安全

APP所在目录的文件权限-APP所在目录文件其他组成员不可读写

SQLite数据库文件的安全性-重要信息进行加密存储

Logcat日志-具有敏感信息的调试信息开关一定要关闭

敏感数据存储SDcard-敏感数据不要存储在SDcard上面

APP本地数据存储，是否存有敏感信息，例如sessim、toke、账号等

（5）键盘安全

键盘劫持-客户端开发自定义软键盘防止键盘劫持攻击

使用随机布局的软键盘-客户端对自定义软键盘进行随机化处理

（6）屏幕截屏-防止通过连续截图，捕捉到用户密码输入框的密码

（7）界面劫持-防止activity被劫持

（8）本地拒绝服务-使用try catch方式进行捕获所有异常,以防止应用出现拒绝服务

（9）webview安全风险-任意代码执行漏洞、密码明文存储握洞

（10）应用数据可备份-APP的ArdroidManifest.xml中allowbackup属性设置为False

（11）debug调试-关闭debug调试功能

2、服务端安全

（1）安全策略

密码复杂度策略-密码策珞要满足复杂度要求,不允许设置弱密码

认证失败锁定策略-连续认证失败3次或者5次锁定账号

单点登录限制策略-同一时间只允许一个账号在一个地方登陆

会话超时策略-设置会话超时时间，例如30分钟

UI敏感信息安全-账号和密码输入错误时均提示“账号或密码错误”

安全退出-客户端在用户退出登录时,服务端要及时清除掉session

密码修改验证-密码修改需要有对前密码的认证

验证码-验证码只能用一次，用完即失效；验证码有效期限制,例如5分钟或者10分钟内有效

（2）业务安全

任意账号注册

短信重放攻击

越权漏洞-业务垂直越权、业务平行越权

veb应用常见漏洞:例如SQL注入、XSS、上传、任意文件下载等等

3、通信安全（通信保密性）

（1）通过抓包工具查看客户端APP和脂务端通信是否采用https通信

（2）中间人攻击

强校验:客户瑞预存一份服务端证书或者证书的HD5,判断服务谍证书和本地保持的一致

弱校验:客户端校验服务瑞证书域名﹑颁发机构、过期时间

（3）访问控制-客户端访问的URL是否仅能由手机客户端访问