xss跨站脚本，纯安全测试干货分享-建议收藏

安全性测试，是app专项测试中必须要做的一环；为什么会这样说！
（1）这个app应用是否能真正保护用户的隐私不会被窃取； 任何人都不想让自己的信息外露！
（2）测试这个app本身是否存在漏洞？ 如果有的话病毒很容易侵进系统破坏！
（3）运行过程中会不会出现突然闪退的情况？ 如果具有交易功能会不会被劫持或资金损失呢！

一.软件权限
1.扣费风险：包括发送短信、拨打电话、连接网络等
2.隐私泄露风险：包括访问手机信息、访问联系人信息等
3.对App的输入有效性校验、认证、授权、敏感数据存储、数据加密等方面进行检测
4.限制/允许使用手机功能接入互联网
5.限制/允许使用手机发送接受信息功能
6.限制/允许应用程序来注册自动启动应用程序
7.限制或使用本地连接
8.限制/允许使用手机拍照或录音
9.限制/允许使用手机读取用户数据
10).限制/允许使用手机写入用户数据
11).检测App的用户授权级别、数据泄漏、非法授权访问等
二.安装与卸载安全性
1.应用程序应能正确安装到设备驱动程序上
2.能够在安装设备驱动程序上找到应用程序的相应图标
3.是否包含数字签名信息
4.JAD文件和JAR包中包含的所有托管属性及其值必需是正确的
5.JAD文件显示的资料内容与应用程序显示的资料内容应一致
6.安装路径应能指定
7.没有用户的允许, 应用程序不能预先设定自动启动
8.卸载是否安全, 其安装进去的文件是否全部卸载
9.卸载用户使用过程中产生的文件是否有提示
10.其修改的配置信息是否复原
11.卸载是否影响其他软件的功能
12.卸载应该移除所有的文件
三.数据安全性
1.当将密码或其他的敏感数据输人到应用程序时, 其不会被储存在设备中, 同时密码也不会被解码
2.输入的密码将不以明文形式进行显示
3.密码, 信用卡明细, 或其他的敏感数据将不被储存在它们预输人的位置上
4.不同的应用程序的个人×××或密码长度必需至少在6-12 个数字长度之间
5.当应用程序处理信用卡明细, 或其他的敏感数据时, 不以明文形式将数据写到其它单独的文件或者临时文件中。
6.防止应用程序异常终止而又没有删除它的临时文件, 文件可能遭受***者的袭击, 然后读取这些数据信息。
7.当将敏感数据输人到应用程序时, 其不会被储存在设备中
8.备份应该加密, 恢复数据应考虑恢复过程的异常、通讯中断等, 数据恢复后再使用前应该经过校验
9.应用程序应考虑系统或者虚拟机器产生的用户提示信息或安全警告
10.应用程序不能忽略系统或者虚拟机器产生的用户提示信息或安全警告, 更不能在安全警告显示前,，利用显示误导信息欺骗用户，应用程序不应该模拟进行安全警告误导用户
11.在数据删除之前，应用程序应当通知用户或者应用程序提供一个“取消”命令的操作
12.“ 取消” 命令操作能够按照设计要求实现其功能
13.应用程序应当能够处理当不允许应用软件连接到个人信息管理的情况
14.当进行读或写用户信息操作时, 应用程序将会向用户发送一个操作错误的提示信息
15.在没有用户明确许可的前提下不损坏删除个人信息管理应用程序中的任何内容Μ
16.应用程序读和写数据正确。
17.应用程序应当有异常保护。
18.如果数据库中重要的数据正要被重写, 应及时告知用户
19.能合理地处理出现的错误
20.意外情况下应提示用户

以上建议仅供参考！【乐搏软件测试】【乐搏学院】

转载于:https://blog.51cto.com/13559040/2380789