軟體測試 之【移動端測試】——安全性測試
軟體權限
1)扣費風險:包括發送短信、撥打電話、連接配接網絡等
2)隐私洩露風險:包括通路手機資訊、通路聯系人資訊等
3)對App的輸入有效性校驗、認證、授權、敏感資料存儲、資料加密等方面進行檢測
4)限制/允許使用手機功能接人網際網路
5)限制/允許使用手機發送接受資訊功能
6)限制/允許應用程式來注冊自動啟動應用程式
7)限制或使用本地連接配接
8)限制/允許使用手機拍照或錄音
9)限制/允許使用手機讀取使用者資料
10)限制/允許使用手機寫人使用者資料
11)檢測App的使用者授權級别、資料洩漏、非法授權通路等
安裝與解除安裝安全性
1)應用程式應能正确安裝到裝置驅動程式上
2)能夠在安裝裝置驅動程式上找到應用程式的相應圖示
3)是否包含數字簽名資訊
4)JAD檔案和 JAR包中包含的所有托管屬性及其值必需是正确的
5)JAD檔案顯示的資料内容與應用程式顯示的資料内容應一緻
6)安裝路徑應能指定
7)沒有使用者的允許,應用程式不能預先設定自動啟動
8)解除安裝是否安全,其安裝進去的檔案是否全部解除安裝
9)解除安裝使用者使用過程中産生的檔案是否有提示
10)其修改的配置資訊是否複原
11)解除安裝是否影響其他軟體的功能
12)解除安裝應該移除所有的檔案
資料安全性
1)當将密碼或其他的敏感資料輸人到應用程式時,其不會被儲存在裝置中,同時密碼也不會
被解碼
2)輸人的密碼将不以明文形式進行顯示
3)密碼,信用卡明細,或其他的敏感資料将不被儲存在它們預輸人的位置上
4)不同的應用程式的個人身份證或密碼長度必需至少在 4一 8個數字長度之間
5)當應用程式處理信用卡明細,或其他的敏感資料時,不以明文形式将資料寫到其它單獨的
檔案或者臨時檔案中。以 6)防止應用程式異常終止而又沒有側除它的臨時檔案,檔案可能
遭受人侵者的襲擊,然後讀取這些資料資訊。
7)當将敏感資料輸人到應用程式時,其不會被儲存在裝置中
8)備份應該加密,恢複資料應考慮恢複過程的異常�通訊中斷等,資料恢複後再使用前應該
經過校驗
9)應用程式應考慮系統或者虛拟機器産生的使用者提示資訊或安全替告
10)應用程式不能忽略系統或者虛拟機器産生的使用者提示資訊或安全警告,更不能在安全警
告顯示前,,利用顯示誤導資訊欺騙使用者,應用程式不應該模拟進行安全警告誤導使用者
11)在資料删除之前,應用程式應當通知使用者或者應用程式提供一個“取消”指令的操作
12)“取消”指令操作能夠按照設計要求實作其功能
13)應用程式應當能夠處理當不允許應用軟體連接配接到個人資訊管理的情況
14)當進行讀或寫使用者資訊操作時,應用程式将會向使用者發送一個操作錯誤的提示資訊
15)在沒有使用者明确許可的前提下不損壞側除個人資訊管理應用程式中的任何内容Μ
16)應用程式讀和寫資料正确。
17)應用程式應當有異常保護。
18)如果資料庫中重要的資料正要被重寫,應及時告知使用者
19)能合理地處理出現的錯誤
20)意外情況下應提示使用者
通訊安全性
1)在運作其軟體過程中,如果有來電、SMS、EMS、MMS、藍牙、紅外等通訊或充電時,是
否能暫停程式,優先處理通信,并在處理完畢後能正常恢複軟體,繼續其原來的功能
2)當創立連接配接時,應用程式能夠處理因為網絡連接配接中斷,進而告訴使用者連接配接中斷的情況
3)應能處理通訊延時或中斷
4)應用程式将保持工作到通訊逾時,進而發送給使用者一個錯誤資訊訓示有連接配接錯誤
5)應能處理網絡異常和及時将異常情況通報使用者
6)應用程式關閉或網絡連接配接不再使用時應及時關閉)斷開
7) HTTP、HTTPS覆寫測試
--App和背景服務一般都是通過 HTTP來互動的,驗證 HTTP環境下是否正常;
--公共免費網絡環境中(如:麥當勞、星巴克等)都要輸入使用者名和密碼,通過 SSL認證
來通路網絡,需要對使用 HTTP Client的 library異常作捕獲處理。