App 安全测试用例--分享

程序代码安全测试

运行环境

  1. root 环境检测
  2. 模拟器环境检测
  3. 挂钩框架环境检测

防反编译

  1. 反编译工具检测
  2. 代码混淆检测
  3. 代码混淆强度检测
  4. 关键代码保护检测

防篡改

  1. 程序文件防篡改检测
  2. 内存数据防篡改检测

防调试

  1. 调试工具防护检测
  2. 调试行为防护检测
  3. 内存防护检测

防注入

  1. 进程保护检测

服务交互安全测试

进程间交互

  1. 进程间通信数据安全检测

屏幕交互

  1. 界面劫持检测
  2. 防截屏检测
  3. 防录屏检测

webview 交互

  1. 克隆攻击检测
  2. webview安全检测
  3. add Java script interface漏洞检测
  4. fragment injection 注入漏洞检测

接口端口交互

  1. 对象反序列化检测
  2. 外部输入安全检测
  3. 不会对外输出敏感信息检测
  4. wormhole 漏洞检测

本地数据安全测试

数据创建

  1. 用户协议检测
  2. 数据采集检测
  3. 数据输入检测
  4. 数据生成检测

数据存储

  1. 访问控制检测
  2. 数据加密检测

数据处理

  1. 程序日志检测
  2. 敏感数据不当使用检测

数据共享

  1. 第三方sdk用户协议检测
  2. 与第三方sdk数据共享检测

数据备份

  1. 敏感数据备份检测
  2. 备份数据加密强度检测

数据销毁

  1. 后台运行数据检测
  2. 敏感数据清除检测

网络传输安全测试

安全传输层

  1. TLS 实现检测
  2. CA证书检测
  3. 证书校验检测
  4. 主机名校验

数据加密

  1. 通信数据加密

中间人攻击

  1. HTTP 中间人会话劫持检测
  2. HTTPS 中间人会话劫持检测

鉴权认证安全测试

注册过程

  1. 注册信息保护
  2. 注册信息加密
  3. 注册过程防爆破检测
  4. 注册过程防嗅探

登录过程

  1. 密码安全验证检测
  2. 登录信息加密传输检测
  3. 登录过程防爆破检测
  4. 登录过程防绕过检测

会话过程

  1. 有状态会话标志检测
  2. 无会话状态token检测
  3. 会话不活跃检测
  4. 加强认证检测

登出过程

  1. 会话终止检测
  2. 残留数据检测

注销过程

  1. 重新注册检测
  2. 数据清除检测

整理一下自己常用的app,安全测试内容,具体执行步骤后续有时间补充

你可能感兴趣的:(软件测试)