以安全測試中的軟件權(quán)限和數(shù)據(jù)安全性為例,測試APP應(yīng)用軟件的方法如下:
1、扣費風(fēng)險:短信、撥打電話、連接網(wǎng)絡(luò)等。
2、隱私泄露風(fēng)險:訪問手機信息、聯(lián)系人信息等。
3、對app的輸入有效性校驗、認證、授權(quán)、數(shù)據(jù)加密等方面進行檢測。
4、限制/允許使用手機功能接入互聯(lián)網(wǎng)。
5、限制/允許使用手機發(fā)送接收信息功能。
6、限制或使用本地連接。
7、允許使用手機拍照或錄音。
8、限制/允許使用手機讀取用戶數(shù)據(jù)。
9、限制/允許使用手機寫入用戶數(shù)據(jù)。
10、限制/允許應(yīng)用程序來注冊自動啟動應(yīng)用程序。
數(shù)據(jù)安全性:
1、敏感數(shù)據(jù),如密碼等輸入應(yīng)用程序時,不會被存儲,密碼也不會被解碼。
2、輸入的密碼將以隱藏形式顯示。
3、密碼、信用卡明細或其他的敏感數(shù)據(jù)將不被存儲在它們預(yù)輸入的位置上。
4、不同的應(yīng)用程序的個人身份證或密碼長度必須至少在4-8個數(shù)字長度之間。
5、處理信用卡明細或其它的敏感數(shù)據(jù)時,不以明文形式將數(shù)據(jù)寫到其他單獨的文件或者臨時文件中。防止應(yīng)用程序異常終止而又沒有刪除它的臨時文件,文件可能遭受入侵者的襲擊,然后被讀取數(shù)據(jù)信息。
6、黨建敏感數(shù)據(jù)輸入到應(yīng)用程序時,其不會被存儲在設(shè)備中。
7、應(yīng)用程序應(yīng)考慮或者虛擬機器產(chǎn)生的用戶提示信息或安全警告。
8、應(yīng)用程序不能忽略系統(tǒng)或者虛擬機器產(chǎn)生的用戶提示信息或安全警告,更不能在安全警告顯示前,利用顯示誤導(dǎo)信息欺騙用戶,應(yīng)用程序不應(yīng)該模擬進行安全警告誤導(dǎo)用戶。
9、在數(shù)據(jù)刪除之前,應(yīng)用程序應(yīng)當通知用戶或者應(yīng)用程序提供一個“取消”命令的操作。
10、應(yīng)用程序能夠處理當不允許應(yīng)用軟件連接到個人信息管理的情況。
11、讀寫用戶信息時,將會向用戶發(fā)送操作錯誤的提示信息。
12、沒有用戶明確許可前不損壞刪除個人信息管理應(yīng)用程序中的任何內(nèi)容。
13、數(shù)據(jù)庫等重要數(shù)據(jù)被重寫時及時告知用戶。
14、合理的處理錯誤。
15、意外情況下應(yīng)提示用戶。
聲明:本網(wǎng)頁內(nèi)容旨在傳播知識,若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系,我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com
本文如未解决您的问题请添加抖音号:51dongshi(抖音搜索懂视),直接咨询即可。