安裝包安全性
1、反編譯
目的是為了保護(hù)公司的知識(shí)產(chǎn)權(quán)和安全方面的考慮等,一些程序開(kāi)發(fā)人員會(huì)在源碼中硬編碼一些敏感信息,如密碼。而且若程序內(nèi)部一些設(shè)計(jì)欠佳的邏輯,也可能隱含漏洞,一旦源碼泄漏,安全隱患巨大。
為了避免這些問(wèn)題,除了代碼審核外,通常開(kāi)發(fā)的做法是對(duì)代碼進(jìn)行混淆,混淆后源代碼通過(guò)反軟件生成的源代碼是很難讀懂的。
2、簽名
這點(diǎn)IOS可以不用考慮,因?yàn)锳PP stroe都會(huì)校驗(yàn)。但Android沒(méi)有此類(lèi)權(quán)威檢查,我們要在發(fā)布前校驗(yàn)一下簽名使用的key是否正確,以防被惡意第三方應(yīng)用覆蓋安裝等??墒褂孟铝忻顧z查:
jarsigner -verify -verbose -certs apk包路徑
若結(jié)果為“jar 已驗(yàn)證”,說(shuō)明簽名校驗(yàn)成功。
3、完整性校驗(yàn)
為確保安裝包不會(huì)在測(cè)試完成到最終交付過(guò)程中因?yàn)槟承┰虬l(fā)生文件損壞,需要對(duì)安裝包進(jìn)行完整性校驗(yàn),通常做法是檢查文件的md5值。
數(shù)據(jù)安全性
1、數(shù)據(jù)庫(kù)
數(shù)據(jù)庫(kù)是否存儲(chǔ)敏感信息,某些應(yīng)用會(huì)把cookie類(lèi)數(shù)據(jù)保存在數(shù)據(jù)庫(kù)中,一旦此數(shù)據(jù)被他人獲取,可能造成用戶賬戶被盜用等嚴(yán)重問(wèn)題,測(cè)試中在跑完一個(gè)包含數(shù)據(jù)庫(kù)操作的測(cè)試用例后,我們可以直接查看數(shù)據(jù)庫(kù)里的數(shù)據(jù),觀察是否有敏感信息存儲(chǔ)在內(nèi)。一般來(lái)說(shuō)這些敏感信息需要用戶進(jìn)行注銷(xiāo)操作后刪除。如果是cookie類(lèi)數(shù)據(jù),建議設(shè)置合理的過(guò)期時(shí)間。
2、日志
日志是否存在敏感信息,一般開(kāi)發(fā)在寫(xiě)程序的過(guò)程中會(huì)加入日志幫助高度,所有可能會(huì)寫(xiě)入一些敏感信息,通常APP的發(fā)布版不會(huì)使用日志,但也不排除特殊情況。
3、配置文件
配置文件是否存在敏感信息,與日志類(lèi)似,我們需要檢查配置文件中是否包含敏感信息。
推薦閱讀:
本文內(nèi)容不用于商業(yè)目的,如涉及知識(shí)產(chǎn)權(quán)問(wèn)題,請(qǐng)權(quán)利人聯(lián)系SPASVO小編(021-60725088-8054),我們將立即處理,馬上刪除。