移动APP安全测试方案小结

随着智能手机的快速崛起，装载在手机的应用APP呈现爆发式增长。伴随着移动应用的快速增长，安全问题也越来越重要。带来我们测试这块的挑战比较大。针对最近的项目，对APP安全测试做了一个总结。

移动APP整个平台安全方案的设计，应该包括软件安全、网络安全、管理安全三个方面。除了APP软件安全方面之外，也需要设计好网络安全，相关管理部门也要制定相应的管理措施与制度，从而全方位移动APP产品的安全。

今天重点讲一下APP本身的安全。APP本身安全我个人觉得有5个层面的东西，即配置安全、数据安全、接口安全、平台安全、APP安全（终端）。

配置安全要考虑这里不谈论操作系统和数据库系统，只谈论应用层面，应用有没有加固措施如，有及时更新补丁、管理后密码有没有加强，有些默认不需要的端口有没修改或关闭等，常规问题有没有规避。数据库管理密码有没有加强。

数据安全包括重要敏感信息有没有加密存储如用户登录密码。隐私数据有没有做相关的控制和管理。

接口安全就比较多，如接口有没有采用Htttps，如果没有采用有没有安全证的处理，有没有证书。接口的参数有没有加密处理。后台配置文件中所有密码有没有加密的。

平台安全，这里平台指得是APP的后台。平台有没有权限管理，管理员密码是如何管理。对平台一些重要操作有没有日志记录。对线上APP一些异常访问有没有监控和控制如一段时间内某个IP访问频率比较大等。

APP安全，终端有没有对重要数据进行加密存放，有没有对付反编译措施，如第三方加固、混淆代码等。APP启动时有没有完整性检查，检查是自己的原版程序。一些关键业务如支付等有没有使用软键盘等安全措施等。