您好,登錄后才能下訂單哦!
1.軟件權(quán)限
1)扣費(fèi)風(fēng)險(xiǎn):包括發(fā)送短信、撥打電話、連接網(wǎng)絡(luò)等
2)隱私泄露風(fēng)險(xiǎn):包括訪問(wèn)手機(jī)信息、訪問(wèn)聯(lián)系人信息等
3)對(duì)App的輸入有效性校驗(yàn)、認(rèn)證、授權(quán)、敏感數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)加密等方面進(jìn)行檢測(cè)
4)限制/允許使用手機(jī)功能接人互聯(lián)網(wǎng)
5)限制/允許使用手機(jī)發(fā)送接受信息功能
6)限制/允許應(yīng)用程序來(lái)注冊(cè)自動(dòng)啟動(dòng)應(yīng)用程序
7)限制或使用本地連接
8)限制/允許使用手機(jī)拍照或錄音
9)限制/允許使用手機(jī)讀取用戶數(shù)據(jù)
10) 限制/允許使用手機(jī)寫人用戶數(shù)據(jù)
11) 檢測(cè)App的用戶授權(quán)級(jí)別、數(shù)據(jù)泄漏、非法授權(quán)訪問(wèn)等
2.安裝與卸載安全性
1)應(yīng)用程序應(yīng)能正確安裝到設(shè)備驅(qū)動(dòng)程序上
2)能夠在安裝設(shè)備驅(qū)動(dòng)程序上找到應(yīng)用程序的相應(yīng)圖標(biāo)
3)是否包含數(shù)字簽名信息
4)JAD文件和JAR包中包含的所有托管屬性及其值必需是正確的
5)JAD文件顯示的資料內(nèi)容與應(yīng)用程序顯示的資料內(nèi)容應(yīng)一致
6)安裝路徑應(yīng)能指定
7)沒(méi)有用戶的允許, 應(yīng)用程序不能預(yù)先設(shè)定自動(dòng)啟動(dòng)
8)卸載是否安全, 其安裝進(jìn)去的文件是否全部卸載
9)卸載用戶使用過(guò)程中產(chǎn)生的文件是否有提示
10)其修改的配置信息是否復(fù)原
11)卸載是否影響其他軟件的功能
12)卸載應(yīng)該移除所有的文件
3.數(shù)據(jù)安全性
1)當(dāng)將密碼或其他的敏感數(shù)據(jù)輸人到應(yīng)用程序時(shí), 其不會(huì)被儲(chǔ)存在設(shè)備中, 同時(shí)密碼也不會(huì)被解碼
2)輸人的密碼將不以明文形式進(jìn)行顯示
3)密碼, 信用卡明細(xì), 或其他的敏感數(shù)據(jù)將不被儲(chǔ)存在它們預(yù)輸人的位置上
4)不同的應(yīng)用程序的個(gè)人***或密碼長(zhǎng)度必需至少在4一8 個(gè)數(shù)字長(zhǎng)度之間
5)當(dāng)應(yīng)用程序處理信用卡明細(xì), 或其他的敏感數(shù)據(jù)時(shí), 不以明文形式將數(shù)據(jù)寫到其它單獨(dú)的文件或者臨時(shí)文件中。以
6)防止應(yīng)用程序異常終止而又沒(méi)有側(cè)除它的臨時(shí)文件, 文件可能遭受人侵者的襲擊, 然后讀取這些數(shù)據(jù)信息。
7)當(dāng)將敏感數(shù)據(jù)輸人到應(yīng)用程序時(shí), 其不會(huì)被儲(chǔ)存在設(shè)備中
8)備份應(yīng)該加密, 恢復(fù)數(shù)據(jù)應(yīng)考慮恢復(fù)過(guò)程的異常通訊中斷等, 數(shù)據(jù)恢復(fù)后再使用前應(yīng)該經(jīng)過(guò)校驗(yàn)
9)應(yīng)用程序應(yīng)考慮系統(tǒng)或者虛擬機(jī)器產(chǎn)生的用戶提示信息或安全替告
10)應(yīng)用程序不能忽略系統(tǒng)或者虛擬機(jī)器產(chǎn)生的用戶提示信息或安全警告, 更不能在安全警告顯示前,,利用顯示誤導(dǎo)信息欺騙用戶,應(yīng)用程序不應(yīng)該模擬進(jìn)行安全警告誤導(dǎo)用戶
11)在數(shù)據(jù)刪除之前,應(yīng)用程序應(yīng)當(dāng)通知用戶或者應(yīng)用程序提供一個(gè)“取消”命令的操作
12)“ 取消” 命令操作能夠按照設(shè)計(jì)要求實(shí)現(xiàn)其功能
13)應(yīng)用程序應(yīng)當(dāng)能夠處理當(dāng)不允許應(yīng)用軟件連接到個(gè)人信息管理的情況
14)當(dāng)進(jìn)行讀或?qū)懹脩粜畔⒉僮鲿r(shí), 應(yīng)用程序?qū)?huì)向用戶發(fā)送一個(gè)操作錯(cuò)誤的提示信息
15)在沒(méi)有用戶明確許可的前提下不損壞側(cè)除個(gè)人信息管理應(yīng)用程序中的任何內(nèi)容Μ
16)應(yīng)用程序讀和寫數(shù)據(jù)正確。
17)應(yīng)用程序應(yīng)當(dāng)有異常保護(hù)。
18)如果數(shù)據(jù)庫(kù)中重要的數(shù)據(jù)正要被重寫, 應(yīng)及時(shí)告知用戶
19)能合理地處理出現(xiàn)的錯(cuò)誤
20)意外情況下應(yīng)提示用戶
4.通訊安全性
1)在運(yùn)行其軟件過(guò)程中, 如果有來(lái)電、SMS、EMS、MMS、藍(lán)牙、紅外等通訊或充電時(shí), 是否能暫停程序,優(yōu)先處理通信, 并在處理完畢后能正常恢復(fù)軟件, 繼續(xù)其原來(lái)的功能
2)當(dāng)創(chuàng)立連接時(shí), 應(yīng)用程序能夠處理因?yàn)榫W(wǎng)絡(luò)連接中斷, 進(jìn)而告訴用戶連接中斷的情況
3)應(yīng)能處理通訊延時(shí)或中斷
4)應(yīng)用程序?qū)⒈3止ぷ鞯酵ㄓ嵆瑫r(shí), 進(jìn)而發(fā)送給用戶一個(gè)錯(cuò)誤信息指示有連接錯(cuò)誤
5)應(yīng)能處理網(wǎng)絡(luò)異常和及時(shí)將異常情況通報(bào)用戶
6)應(yīng)用程序關(guān)閉或網(wǎng)絡(luò)連接不再使用時(shí)應(yīng)及時(shí)關(guān)閉) 斷開(kāi) 7) HTTP、HTTPS覆蓋測(cè)試
--App和后臺(tái)服務(wù)一般都是通過(guò)HTTP來(lái)交互的,驗(yàn)證HTTP環(huán)境下是否正常;
--公共免費(fèi)網(wǎng)絡(luò)環(huán)境中(如:麥當(dāng)勞、星巴克等)都要輸入用戶名和密碼,通過(guò)SSL認(rèn)證來(lái)訪問(wèn)網(wǎng)絡(luò),需要對(duì)使用HTTP Client的library異常作捕獲處理。
5.人機(jī)接口安全性
1)返回菜單總保持可用
2)命令有優(yōu)先權(quán)順序
3)聲音的設(shè)置不影響應(yīng)用程序的功能
4)應(yīng)用程序必需利用目標(biāo)設(shè)備適用的全屏尺寸來(lái)顯示上述內(nèi)容
5)應(yīng)用程序必需能夠處理不可預(yù)知的用戶操作, 例如錯(cuò)誤的操作和同時(shí)按下多個(gè)鍵
感謝移動(dòng)APP安全檢測(cè)平臺(tái)——愛(ài)內(nèi)測(cè)(www.detect.cn)為我們分享經(jīng)驗(yàn)與知識(shí)。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。