- 1、本文档共16页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
PAGE
PAGE II
XXX公司
XXX移动端APP
安全测试报告
目 录
TOC \o "1-3" \h \z \u 1 引言 1
1.1 测试目的 1
1.2 读者对象 1
1.3 参考标准 1
2 测试概述 2
2.1 测试对象 2
2.2 测试安排 2
2.3 测试流程 3
2.4 测试方法 3
2.5 漏洞等级划分 4
3 测试内容 5
3.1 应用安全性与潜在威胁 5
3.2 源码安全性与潜在威胁 5
3.3 数据安全性与潜在威胁 6
3.4 WEB接口安全性与潜在威胁 6
4 安全风险分析 8
4.1 Android乘客端APP安全风险项 8
4.1.1 订单查询存在严重越权 8
4.1.2 Activity组件可被劫持 8
4.2 IOS司机端APP安全问题分析 9
4.2.1 本地敏感信息明文存储 9
4.2.2 敏感信息明文传送 9
4.3 已加固风险项 10
4.3.1 SSLv3 - Poodle 攻击漏洞 10
4.4 测试通过项 10
4.4.1 会话定置测试 10
4.4.2 敏感接口遍历测试 11
4.4.3 其他测试 11
4.5 测试不适用项 12
5 测试结论 13
6 加固建议 14
xxx移动app安全检测报告
第 PAGE
引言
测试目的
本次针对移动APP应用软件安全检测与处置工作的主要目的是提高移动端APP软件的安全性,降低攻击者攻击移动APP应用软件产生的风险,找出移动APP应用软件是否存在可以被攻击者真实利用的漏洞以及由此引起的风险大小,从而为制定相应的应对措施与解决方案提供实际的依据。通过分析移动APP应用软件在安全方面存在的弱点和风险,为安全加固和改进建议提供依据。编写本测试报告的目的是为研发工程师关于对XXX移动端APP的系统整体功能测试提供指导。
读者对象
本测试报告的读者对象为软件开发项目管理者、软件工程师、测试工程师、安全工程师。
参考标准
《信息安全技术-信息系统安全等级保护级别要求-移动互联网要求标准》
《信息安全技术移动智能终端个人信息保护技术要求》
《中国金融移动支付客户端技术规范》
《中国金融移动支付应用安全规范》
《网上银行信息系统通用安全规范》
《移动互联网应用软件安全评估大纲》
《移动互联网恶意程序描述格式》
《电子银行安全评估指引》
《电子银行业务管理办法》
《OWASP测试指南》
测试概述
测试对象
程序名称
XXX司机端
XXX乘客端
功能
软件版本
上线时间
文件包名
文件哈希
运营者
服务器
所在机房
测试安排
名称
内容
测试时间
测试人员
测试环境
测试设备
测试软件
AppUse、burpsuite、charles、wireshark、baksmali/smali、apktool、virtuous ten studio、dex2jar、Java Decompiler、apk-extractor、keytool/jarsigner、signapk、AndroidResEdit、manitree、DroidBox等
测试流程
本次测试的流程主要包括以下阶段:
确定范围:客户根据自己的需要,确定本次测试的范围;
准备阶段:对测试范围中的手机应用软件进行收集整理和资产调研,获取测试账号和密码;
软件安全评估测试阶段:在此阶段,对手机应用软件进行数据安全性评估、程序安全性评估、程序健壮性评估;
软件安全性检测阶段:在此阶段,对手机应用软件WEB调用接口进行安全性检测;
漏洞修复阶段。在此阶段,对手机应用软件之前发现的安全问题进行问题定级、漏洞修复方案确认、安全漏洞复测。
测试方法
本次测试主要采用的测试方法有:
静态分析
静态分析主要是利用apktool、dex2jar、jd-gui、smali2dex等静态分析工具对应用进行反编译,并对反编译后的java文件、xml文件等文件进行静态扫描分析,通过关键词搜索等静态方式将具有安全隐患的代码进行摘录并存入到检测平台后台,为后续的安全检测报告提供数据依据。
动态分析
动态分析技术是对应用软件安装、运行过程的行为监测和分析。检测的方式为虚拟机方式。沙箱模型方式通过建立安全的沙箱模型,使得移动应用的执行环境是封闭的一个沙箱,不受到沙箱外环境的干扰,结合传统PC机上的沙箱模型原理的分析和研究,得到合适于手机上的沙箱模型。虚拟机方式通过建立与Android手机终端软件运行环境几乎一样的虚拟执行环境,手机应用软件在其中独立运行,从外界观察应用程序的执行过程和动态,进而记录应用程序可能表现出来的恶
文档评论(0)