1.安裝包測試
(1)能否反編譯**(源**洩露問題):
開發:對**進行混淆;測試:使用反編譯工具進行檢視源**,是否進行**混淆,是否包括了顯而易見的敏感資訊
(3)完整性校驗:檢查檔案的md5值
(4)許可權設定檢查(增加新許可權需要進行評估):android檢查manifest檔案讀取應用所需的全部許可權
2.敏感資訊測試
(1)資料庫是否儲存敏感資訊:需要對各個資料庫字段含義進行了解,並評估其中可能的安全問題;在跑完乙個包含資料庫操作的測試用例,我們可直接檢視資料庫裡的資料,觀察是否有敏感資訊需要在使用者進行登出操作後刪除,若師是cookie類資料,建議設定合理的過期時間。
(2)日誌中是否存在敏感資訊:若發布版本中包含日誌應用,在測試需要關注日誌中是否包含敏感資訊。
(3)配置檔案是否存在敏感資訊(與日誌相似)
4.賬戶安全(使用者賬戶的安全)
(1)密碼是否明文儲存:在後台資料庫:在評審和測試中需要關注密碼的儲存
(2)密碼傳輸是否加密:需要檢視密碼是否被明文傳輸
(3)賬戶鎖定策略:對於使用者輸入錯誤密碼次數過多的情況,一些應用將會臨時鎖定;後台對每個賬戶做次數限制可能會引起所有賬號都被策略鎖定。
(4)同時會話:應用對同時會話會有通知功能;
(5)登出機制:客戶端登出後,需要驗證任何的來自該使用者身份驗證的介面呼叫都不能呼叫成功
5.資料通訊安全
(1)關鍵資料是否雜湊或加密:敏感資訊在傳輸前需要進行雜湊或加密。
(2)關鍵連線是否使用安全通訊:在獲知介面設計後需要評估其中內容是否包含敏感資訊。
(3)是否對數字證書合法性進行驗證:fiddle工具模擬中間人攻擊方法
(4)是否驗證資料合法性
開發:對資料進行數字簽名並在客戶端進行相關校驗
(5)元件安全測試(android被外部應用惡意呼叫)測試:drozer工具
6.環境相關測試
(1)干擾測試:a收到** b收到簡訊(考慮通知欄訊息是否覆蓋掉介面上資訊) c收到通知欄訊息 d無電低電量提示框彈出 e第三方安全軟體告警框 彈出
(2)許可權測試:開發在提測時提供乙個需要的許可權列表
(3)邊界情況:a可用儲存空間過少 b沒有sd卡/雙sd卡 c飛行模式 d系統時間有誤 e第三方依賴
testbird
vsftpd 安全效能工具
1 安裝vsftpd yum install y vsftpd 2 客戶端安裝lftp yum install y lftp 3 在服務端建立乙個使用者yhy,密碼為123456 useradd yhy echo 123456 passwd stdin yhy 4 使用lftp登入 lftp u y...
安全性與效能隔離
保證分布式計算的安全性,使攻擊程序無法訪問資源 1.rpc鑑別訊息是否合法 capability訪問控制 任意兩個角色間有金鑰,程序通訊前先對金鑰 動態token 口令 程序級沙箱隔離 無法看到該使用者組不需要的資源 2.效能隔離,三種虛擬化方法的比較 虛擬機器 kvm 完全虛擬化,隔離最好 資源配...
《大資料 Redis 安全效能》
我們可以通過 redis 的配置檔案設定密碼引數,這樣客戶端連線到 redis 服務就需要密碼驗證,這樣可以讓你的redis服務更安全 1.通過命令檢視是否設定了密碼驗證 預設情況下 requirepass 引數是空的,這就意味著你無需通過密碼驗證就可以連線到 redis 服務 127.0.0.1 ...