APP安全测试

一.安装包的测试

1.代码加固和混淆

1.1能否反编译代码-dex2jar和jd_gui工具

1.2安全包是否有签名

1.3完整性校验 -md5

1.4权限设置的检查

2.敏感信息的测试

2.1数据库是否存在敏感信息

2.2缓存

2.3cookie

2.4日志中是否包含敏感信息

2.5配置文件是否包含敏感信息

3.软键盘的劫持

银行卡和支付密码，用自己的安全键盘。

4.账户安全

4.1密码明文存储，密码smscode 

4.2密码传输是否加密  对称加密和非对称加密  例如u盾 

4.3账户锁定策略 

4.4同时会话

4.5注销机制

5.数据通信的安全

5.1关键信息是否加密

5.2关键链接是不是用了安全通信

5.3是否对数字证书合法性验证  https 证书校验 签名校验

5.4是否校验数据合法性  证书校验 签名校验  fiddler-autoresponder

6.组件安全性测试  activity,contenprovider,broadcast、drozer