有關APP產品安全性測試的幾點思考

標籤：

關於APP產品的一些安全性測試點：

• 安裝包測試

1. 能否反編譯代碼
   
   一旦有原始碼泄露公司的智慧財產權會受到影響，而且還有安全風險。測試中我們直接使用反編譯工具查看原始碼，看是否有敏感資訊泄露，是否進行了代碼混淆。（Android平台常用的反編譯工具是的dex2jar和jd-gui）
   
   
2. 安裝包是否有簽名
   
   主要針對Android平台（App Store會校正APP是否為合法開發人員發布的），因為Android平台的發布渠道多種多樣，沒有權威檢查，在版本發布前我們要校正一下籤名使用的key是否正確
   
   

   jarsigner -verify -verbose -cert apk包路徑

   
   如果上述命令運行結果顯示”jar已驗證“，說明簽名校正成功
   
   

3. 完整性校正
   
   防止安裝包在交付過程中出現檔案損壞，需要為安裝包進行完整性校正，通常是檢查檔案md5值，一般通過自動化校正
   
   
4. 使用權限設定檢查
   
   App申請某些特定許可權時進行檢查，如訪問通訊錄、照片等。
   
   

• 敏感資訊測試
  
  （未完待續...）

有關APP產品安全性測試的幾點思考