移动端做安全测试的重要性

news2024/11/15 16:29:03

安全性测试的目的是发现危害手机中数据的安全和完整性的错误和缺陷。发现安全错误通常是比较困难的,软件通常功能运行正常但却不安全。

一、软件权限

APP软件权限包括:网络通信、信息发送、自动启动、 媒体录制、读取用户信息、写入用户数据等权限,因关系到用户个人信息和隐私的保护,需对软件权限和访问安全机制进行测试。

二、安装&卸载
 

安装

1、应用程序应能正确安装到设备驱动程序上;

2、能够在安装设备驱动程序上找到应用程序的相应图标;

3、是否包含数字签名信息;

4、JAD文件和JAR包中包含的所有托管属性及其值必需是正确的;

5、JAD文件显示的资料内容与应用程序显示的资料内容应一致;

6、安装路径应能指定;

7、没有用户的允许,应用程序不能预先设定自动启动; .

8、卸载是否安全,其安装进去的文件是否全部卸载。

卸载

1、卸载是否安全,安装的文件是否卸载干净;

2、卸载时,用户在使用过程中产生的文件是否有提示确认;

3、其修改的配置信息是否复原;

4、卸载是否影响其他软件的功能;

5、卸载应该移除所有的文件;

6、卸载后快捷方式是否删除。

三、数据安全性

数据安全性测试是最重要的测试内容,数据安全是安全的核心内容。数据安全测试应从密码显示、存储、数据备份和恢复、安全提示等方面进行有效的测试,以确保用户使用的安全性。

1、当将密码或其他的敏感数据输人到应用程序时,其不会被储存在设备中,同时密码也不会被解码;

2、输人的密码将不以明文形式进行显示;

3、密码,信用卡明细,或其他的敏感数据将不被储存在它们预输人的位置上;

4、不同的应用程序的个人身份证或密码长度必需至少在4-8个数字长度之间; .

5、当应用程序处理信用卡明细,或其他的敏感数据时,不以明文形式将数据写到其它单独的文件或者临时文件中。以防止应用程序异常终而又没有侧除它的临时文件,文件可能遭受人侵者的袭击,然后读取这些数据信息;

6、当将敏感数据输人到应用程序时,其不会被储存在设备中;

7、备份应该加密,恢复数据应考虑恢复过程的异常0通讯中断等,数据恢复后再使用前应该经过校验;

8、应用程序应考虑系统或者虚拟机器产生的用户提示信息或安全替告;

9、应用程序不能忽略系统或者虚拟机器产生的用户提示信息或安全警告,更不能在安全警告显示前,,利用显示误导信息欺骗用户,应用程序不应该模拟进行安全警告误导户;

10、在数据删除之前,应用程序应当通知用户或者应用程序提供-一个”取消”命令的操作;

11、” 取消”命令操作能够 按照设计要求实现其功能;

12、应用程序应当能够处理当不允许应用软件连接到个人信息管理的情况;

13、当进行读或写用户信息操作时,应用程序将会向用户发送一个操作错误的提示信息;

14、在没有用户明确许可的前提下不损坏侧除个人信息管理应用程序中的任何内容;

15、应用程序读和写数据正确;

16、应用程序应当有异常保护;

17、如果数据库中重要的数据正要被重写,应及时告知用户;

18、能合理地处理出现的错误; .

19、意外情况下应提示用户。

四、通讯安全

1、在运行其软件过程中,如果有来电、短信等通讯或充电时,是否能暂停程序,优先处理通信,并在处理完毕后能正常恢复软件,继续其原来的功能;

2、当创立连接时,应用程序能够处理因为网络连接中断,进而告诉用户连接中断的情况;

3、应能处理通讯延时或中断;

4、应用程序将保持工作到通讯超时,进而发送给用户-个错误信息指示有连接错误;

5、应能处理网络异常和及时将异常情况通报用户;

6、应用程序关闭或网络连接不再使用时应及时关闭)断开;

7、HTTP、HTTPS覆盖测试。

--App和后台服务-般都是通过 HTTP来交互的,验证HTTP环境下是否正常;

--公共免费网络环境中(如:麦当劳、星巴克等)都要输入用户名和密码,通过SSL认证来访问网络,需要对使用HTTPClient的library异常作捕获处理。

五、人机接口安全

人机接口包括交互界面菜单、接口命令、声音等,题责与用户相连接的接口,为避免用户无意输入的可干扰程序正常运作的错误数据,因此要对所有的输入之前进行检查并确认有

1、返回菜单总保持可用;

2、命令有优先权顺序;

3、声音的设置不影响应用程序的功能;

4、应用程序必需利用目标设备适用的全屏尺寸来显示上述内容;

5、应用程序必需能够处理不可预知的用户操作,例如错误的操作和同时按下多个键。

六、测试通信处理能力

1、多连接,小数据量测试

客户端采用多线程与服务连接,采用多台终端同时与服务连接,每台终端同时建立秒于1000个连接,观察服务通信是否正常。

2、常连接、大数据量测试

每个客户端与服务建立一长连接,同时发送大数据量数据(如每次1M数据) ,观察服务能否正确接收。

七、数据处理能力

1、每次连接时启动计时,在-定的时间内观察服务是否正确返回,统计交易成功率。

2、碎片包测试:客户端把一个完整交易包分割成多个碎片包发送,观察服务能否正确组合和响应。

八、可靠性测试

多台客户端同时与服务连接并自动发送交易数据,交易数据有单包,多包,碎片等模式,连接通信7X24小时,统计服务的交易成功率。

最后感谢每一个认真阅读我文章的人,礼尚往来总是要有的,虽然不是什么很值钱的东西,如果你用得到的话可以直接拿走:

这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!有需要的小伙伴可以点击下方小卡片领取   

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/612507.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Java开发手册中为什么建议初始化HashMap的容量大小,以及HashMap源码中相关参数(容量大小设置参数公式)说明

场景 Java开发手册中对于HashMap的推荐如下: 【推荐】集合初始化时,指定集合初始值大小。 说明:HashMap 使用 HashMap(int initialCapacity) 初始化,如果暂时无法确定集合大小,那么指定默认值(16)即可。…

2023年前端面试题汇总-数据结构(链表)

1. 链表的概念 1.1. 链表的结构 在计算机里,不保存在连续存储空间中,而每一个元素里都保存了到下一个元素的地址的数据结构,我们称之为链表(Linked List)。链表上的每一个元素又可以称它为节点(Node&…

【大数据之Hive】六、Hive之metastore服务部署

metastore为Hive CLI或Hiveserver2提供元数据访问接口。 1 metastore运行模式 metastore运行模式有两种,嵌入式模式和独立服务模式。 (1)嵌入式模式 将metastore看作一个依赖嵌入到Hiveserver2和每一个HiveCLI客户端进程,使得Hi…

零基础开发小程序第六课-删除数据

目录 1 物理删除数据2 逻辑删除数据总结 我们上一篇介绍了修改数据,本篇介绍一下删除数据。一般的小程序如果提供给管理员使用的功能,通常会有删除数据的功能。 删除数据有真删除和假删除的区别。那什么是真删除呢?真删除就是把这条数据从数据…

通过JVM深入理解Java异常机制

JVM内部结构 要深入理解JVM异常处理机制,需要从JVM内部结构开始。 下图描述的主要是Java程序在执行时,由JVM管理的运行时数据区;包括方法区、Java堆、Java虚拟机栈、PC寄存器、本地方法栈,还有常量池。它们又被分为两大类——线程…

SeaTunnel StarRocks 连接器的使用及原理介绍

作者:毕博,马蜂窝数据平台负责人,StarRocks 活跃贡献者 & Apache SeaTunnel 贡献者 Apache SeaTunnel(以下简称 SeaTunnel)是一个分布式、高性能、易扩展、用于海量数据(离线&实时)同步…

Spring为什么默认是单例的?

目录 一、五种作用域 二、单例bean与原型bean的区别 三、单例Bean的优势与劣势 一、五种作用域 1.singleton: singleton是Spring Bean的默认作用域,也就是单例模式。在整个应用程序中,只会创建一个实例,Bean的所有请求都会共享这个实例。 …

ETLCloud轻松应对CDC实时数据流和维度数据合并的需求,实时监控订单数据

如何实现实时流与批流合并打宽数据 通常情况下我们使用CDC实时监听表销售或订单表数据的LOG时会形成流式的数据,即订单变化时数据是按照变化时间不断的传入到ETL的流程中的,业务希望实时看到订单数据的报表。 CDC每次传入的数据有可能是一条也可能是多…

基于geoserver开发地图发布服务

写在前面:我在github上创建了对应的项目,可点此跳转,本文的所有源码均可在项目里找到,欢迎大家访问交流 一、开发背景 在gis领域,geoserver是后端地图发布的开源项目。目前我们在启动服务后,可通过自带的…

科研工具-R-META分析与【文献计量分析、贝叶斯、机器学习等】多技术融合实践

Meta分析是针对某一科研问题,根据明确的搜索策略、选择筛选文献标准、采用严格的评价方法,对来源不同的研究成果进行收集、合并及定量统计分析的方法,最早出现于“循证医学”,现已广泛应用于农林生态,资源环境等方面。…

【AIGC】14、GLIPv2 | 在 GLIP 上扩展 negative phrase 并新增分割功能

文章目录 一、背景二、方法2.1 A Unified VL Formulation and Architecture2.2 GLIPv2 pre-training2.3 将 GLIPv2 迁移到 Localization 和 VL task 三、结果3.1 One model architecture for all3.2 One set of model parameters for all3.3 GLIPv2 as a strong few-shot learn…

Latex使用algorithm2e包写伪代码

用Latex写伪代码我们需要用到一个包,Algorithm2e,这个工具包的使用手册下载地址为(http://mlg.ulb.ac.be/files/algorithm2e.pdf)CSDN的链接为() 准备 导入该包 \usepackage[ruled,linesnumbered]{algor…

上海亚商投顾:沪指小幅震荡微涨 AI应用端持续活跃

上海亚商投顾前言:无惧大盘涨跌,解密龙虎榜资金,跟踪一线游资和机构资金动向,识别短期热点和强势个股。 市场情绪 大小指数今日走势分化,沪指全天窄幅震荡,创业板指低开低走,盘中一度跌超1.6%&a…

【Java基础】I/O流 —— Java中的流都需要关闭吗?

目录 一、为什么要关闭流?二、close方法和flush方法1.使用close方法2.使用flush方法 三、流按指向分类四、不用关闭的流 一、为什么要关闭流? 涉及到对外部资源的读写操作,包括网络、硬盘等等的I/O流,如果在使用完毕之后不关闭&a…

Unity基础框架从0到1(六)对象池模块

索引 这是Unity基础框架从0到1的第六篇文章,框架系列的项目地址是:https://github.com/tang-xiaolong/SimpleGameFramework 文章最后有目前框架系列的思维导图,前面的文章和对应的视频我一起列到这里: 文章 Unity基础框架从0到…

算力不竭如江海,天翼云“息壤”如何助力千行百业算力智能调度?

科技云报道原创。 数字时代下,算力已成为新型生产力,并朝着多元泛在、安全可靠、绿色低碳的方向演进。以算力为核心的数字信息基础设施,是国家战略性布局的关键组成部分,也成为数字经济时代的“大国重器”。 作为云服务国家队&am…

报表生成器FastReport .Net教程:“Text“对象、文本编辑

FastReport .Net是一款全功能的Windows Forms、ASP.NET和MVC报表分析解决方案,使用FastReport .NET可以创建独立于应用程序的.NET报表,同时FastReport .Net支持中文、英语等14种语言,可以让你的产品保证真正的国际性。 FastReport.NET官方版…

es elasticsearch 十四 各种机制 评分机制 正序索引 解决跳跃结果问题 解决耗时过长问题 解决相同属性值都到一个地方

目录 评分机制 机制 查看评分实现如何算出来的explaintrue 分析能否被搜索到 Doc value 正排序索引 Query phase Fetch phase Preference 问题 解决跳跃结果问题 Timeout 到达时间直接返回,解决耗时过长问题 Routing 数据准确分配到某地,解决相…

这才叫软件测试工程师,你那最多是混口饭吃罢了....

前些天和大学室友小聚了一下,喝酒喝大发了,谈天谈地谈人生理想,也谈到了我们各自的发展,感触颇多。曾经找工作我迷茫过、徘徊不,毕业那会我屡屡面试失败,处处碰壁;工作两年后我一度想要升职加薪…

006+limou+C语言“堆的实现”与“树的相关概念”

0.前言 这里是limou3434的一篇个人博文,感兴趣可以看看我的其他内容。本次我给您带来的是树的相关只是,并且把堆这一数据结构做了实现,后面还有大量的oj题目。但是树重点也就在这十多道oj题目中,您可以尝试着自己做一下&#xff…