安裝包安全性
1�、反編譯
目的是為了保護公司的知識產(chǎn)權(quán)和安全方面的考慮等���,一些程序開發(fā)人員會在源碼中硬編碼一些敏感信息�,如密碼��。而且若程序內(nèi)部一些設計欠佳的邏輯�,也可能隱含漏洞,一旦源碼泄漏����,安全隱患巨大。
為了避免這些問題����,除了代碼審核外�����,通常開發(fā)的做法是對代碼進行混淆����,混淆后源代碼通過反軟件生成的源代碼是很難讀懂的。
2����、簽名
這點IOS可以不用考慮��,因為APP stroe都會校驗��。但Android沒有此類權(quán)威檢查����,我們要在發(fā)布前校驗一下簽名使用的key是否正確����,以防被惡意第三方應用覆蓋安裝等����?���?墒褂孟铝忻顧z查:
jarsigner -verify -verbose -certs apk包路徑
若結(jié)果為“jar 已驗證”,說明簽名校驗成功����。
3�、完整性校驗
為確保安裝包不會在測試完成到最終交付過程中因為某些原因發(fā)生文件損壞��,需要對安裝包進行完整性校驗���,通常做法是檢查文件的md5值��。
數(shù)據(jù)安全性
1�、數(shù)據(jù)庫
數(shù)據(jù)庫是否存儲敏感信息���,某些應用會把cookie類數(shù)據(jù)保存在數(shù)據(jù)庫中�,一旦此數(shù)據(jù)被他人獲取���,可能造成用戶賬戶被盜用等嚴重問題,測試中在跑完一個包含數(shù)據(jù)庫操作的測試用例后����,我們可以直接查看數(shù)據(jù)庫里的數(shù)據(jù),觀察是否有敏感信息存儲在內(nèi)��。一般來說這些敏感信息需要用戶進行注銷操作后刪除��。如果是cookie類數(shù)據(jù)�,建議設置合理的過期時間。
2����、日志
日志是否存在敏感信息��,一般開發(fā)在寫程序的過程中會加入日志幫助高度��,所有可能會寫入一些敏感信息,通常APP的發(fā)布版不會使用日志��,但也不排除特殊情況�。
3��、配置文件
配置文件是否存在敏感信息���,與日志類似�����,我們需要檢查配置文件中是否包含敏感信息。
推薦閱讀:
本文內(nèi)容不用于商業(yè)目的,如涉及知識產(chǎn)權(quán)問題�����,請權(quán)利人聯(lián)系SPASVO小編(021-60725088-8054),我們將立即處理�����,馬上刪除���。
sales@spasvo.com
