APP的安全測(cè)試點(diǎn)

-----------轉(zhuǎn)摘某位大神，看過(guò)之后，覺(jué)得比一些介紹APP測(cè)試的書(shū)籍都要寫(xiě)的好，若是測(cè)試APP完全可以參考，并結(jié)合自己的工作，看是否有漏測(cè)或者自己工作需要改進(jìn)的地方

數(shù)據(jù)安全性

1）當(dāng)將密碼或其他的敏感數(shù)據(jù)輸人到應(yīng)用程序時(shí),其不會(huì)被儲(chǔ)存在設(shè)備中, 同時(shí)密碼也不會(huì)被解碼

2）輸人的密碼將不以明文形式進(jìn)行顯示

3）密碼, 信用卡明細(xì), 或其他的敏感數(shù)據(jù)將不被儲(chǔ)存在它們預(yù)輸人的位置上

4）不同的應(yīng)用程序的個(gè)人身份證或密碼長(zhǎng)度必需至少在4一8個(gè)數(shù)字長(zhǎng)度之間

5）當(dāng)應(yīng)用程序處理信用卡明細(xì), 或其他的敏感數(shù)據(jù)時(shí), 不以明文形式將數(shù)據(jù)寫(xiě)到其它單獨(dú)的文件或者臨時(shí)文件中。

6）防止應(yīng)用程序異常終止而又沒(méi)有側(cè)除它的臨時(shí)文件, 文件可能遭受人侵者的襲擊, 然后讀取這些數(shù)據(jù)信息。

7）當(dāng)將敏感數(shù)據(jù)輸人到應(yīng)用程序時(shí), 其不會(huì)被儲(chǔ)存在設(shè)備中

8）備份應(yīng)該加密, 恢復(fù)數(shù)據(jù)應(yīng)考慮恢復(fù)過(guò)程的異常通訊中斷等, 數(shù)據(jù)恢復(fù)后再使用前應(yīng)該經(jīng)過(guò)校驗(yàn)

9）應(yīng)用程序應(yīng)考慮系統(tǒng)或者虛擬機(jī)器產(chǎn)生的用戶提示信息或安全替告

10）應(yīng)用程序不能忽略系統(tǒng)或者虛擬機(jī)器產(chǎn)生的用戶提示信息或安全警告, 更不能在安全警告顯示前,，利用顯示誤導(dǎo)信息欺騙用戶，應(yīng)用程序不應(yīng)該模擬進(jìn)行安全警告誤導(dǎo)用戶

11）在數(shù)據(jù)刪除之前，應(yīng)用程序應(yīng)當(dāng)通知用戶或者應(yīng)用程序提供一個(gè)“取消”命令的操作

12）“取消”命令操作能夠按照設(shè)計(jì)要求實(shí)現(xiàn)其功能

13）應(yīng)用程序應(yīng)當(dāng)能夠處理當(dāng)不允許應(yīng)用軟件連接到個(gè)人信息管理的情況

14）當(dāng)進(jìn)行讀或?qū)懹脩粜畔⒉僮鲿r(shí), 應(yīng)用程序?qū)?huì)向用戶發(fā)送一個(gè)操作錯(cuò)誤的提示信息

15）在沒(méi)有用戶明確許可的前提下不損壞側(cè)除個(gè)人信息管理應(yīng)用程序中的任何內(nèi)容Μ

16）應(yīng)用程序讀和寫(xiě)數(shù)據(jù)正確。

17）應(yīng)用程序應(yīng)當(dāng)有異常保護(hù)。

18）如果數(shù)據(jù)庫(kù)中重要的數(shù)據(jù)正要被重寫(xiě), 應(yīng)及時(shí)告知用戶

19）能合理地處理出現(xiàn)的錯(cuò)誤

20）意外情況下應(yīng)提示用戶

通訊安全性

1）在運(yùn)行其軟件過(guò)程中, 如果有來(lái)電、SMS、EMS、MMS、藍(lán)牙、紅外等通訊或充電時(shí), 是否能暫停程序，優(yōu)先處理通信, 并在處理完畢后能正常恢復(fù)軟件, 繼續(xù)其原來(lái)的功能

2）當(dāng)創(chuàng)立連接時(shí), 應(yīng)用程序能夠處理因?yàn)榫W(wǎng)絡(luò)連接中斷, 進(jìn)而告訴用戶連接中斷的情況

3）應(yīng)能處理通訊延時(shí)或中斷

4）應(yīng)用程序?qū)⒈３止ぷ鞯酵ㄓ嵆瑫r(shí), 進(jìn)而發(fā)送給用戶一個(gè)錯(cuò)誤信息指示有連接錯(cuò)誤

5）應(yīng)能處理網(wǎng)絡(luò)異常和及時(shí)將異常情況通報(bào)用戶

6）應(yīng)用程序關(guān)閉或網(wǎng)絡(luò)連接不再使用時(shí)應(yīng)及時(shí)關(guān)閉) 斷開(kāi)

7)HTTP、HTTPS覆蓋測(cè)試

--App和后臺(tái)服務(wù)一般都是通過(guò)HTTP來(lái)交互的，驗(yàn)證HTTP環(huán)境下是否正常；

--公共免費(fèi)網(wǎng)絡(luò)環(huán)境中（如：麥當(dāng)勞、星巴克等）都要輸入用戶名和密碼，通過(guò)SSL認(rèn)證來(lái)訪問(wèn)網(wǎng)絡(luò)，需要對(duì)使用HTTPClient的library異常作捕獲處理

人機(jī)接口安全性

1）返回菜單總保持可用

2）命令有優(yōu)先權(quán)順序

3）聲音的設(shè)置不影響應(yīng)用程序的功能

4）應(yīng)用程序必需利用目標(biāo)設(shè)備適用的全屏尺寸來(lái)顯示上述內(nèi)容

5）應(yīng)用程序必需能夠處理不可預(yù)知的用戶操作, 例如錯(cuò)誤的操作和同時(shí)按下多個(gè)鍵

?

總結(jié)

以上是生活随笔為你收集整理的APP安全测试-数据安全性/通讯安全性/人机接口安全性的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。