移动应用安全测试：综合项目总结

一、安装包测试

1.1 源码反编译

通过反编译工具（如dex2jar和jd-gui）检查源码，验证是否进行了代码混淆，避免敏感信息泄露。

1.2 签名校验

检查Android应用签名，确保在发布前校验签名的正确性，防止被恶意第三方应用覆盖安装。

1.3 完整性校验

进行MD5等方式的完整性校验，防止在测试到最终交付中因文件损坏导致问题。

1.4 权限设置检查

检查应用权限，评估权限必要性，避免过度授权，特别关注敏感权限如通讯录访问。

二、敏感信息测试

2.1 数据库检查

验证数据库中是否存储敏感信息，尤其关注cookie等数据，确保合理的过期时间和安全存储。

2.2 日志审查

检查应用日志，排除潜在的敏感信息泄露风险。

2.3 配置文件检查

审查配置文件，确保不包含敏感信息。

三、软键盘安全

3.1 防止键盘劫持

检查第三方键盘可能存在的劫持情况，特别关注敏感输入区域，建议使用应用内软键盘。

四、账户安全

4.1 密码安全性

审查密码存储，防止明文存储在后台数据库。

4.2 密码传输

验证密码传输是否加密，避免明文传输，特别关注HTTP接口。

4.3 账户锁定

检查账户锁定策略，防止暴力破解。

4.4 会话管理

审查同时会话情况，提醒用户账户可能被泄漏，增强用户体验。

4.5 注销机制

验证注销后的操作，确保身份验证必须重新进行。

五、数据通信安全

5.1 数据加密

确保关键数据在传输中进行了加密，防止中间节点获取。

5.2 安全通信

评估关键连接是否使用安全通信，如HTTPS。

5.3 证书合法性

验证客户端对服务端证书的合法性校验，防止中间人攻击。

5.4 数据校验

检查数据是否进行数字签名，防止数据篡改。

六、组件安全测试

6.1 外部调用检查

通过drozer工具等方式检查Android组件是否容易被外部应用恶意调用。

七、服务端接口测试

7.1 安全漏洞检查

评估服务端接口是否存在SQL注入、XSS攻击、CSRF等安全漏洞。

7.2 需求和设计审查

结合实际需求和设计，分析是否存在潜在的安全问题。

附录

软件权限

评估应用的权限设置，包括对手机功能、网络、照相、读取用户数据等的限制和允许。

数据安全性

验证密码和敏感信息输入、存储、处理的安全性。

通讯安全性

检查应用在通信、网络连接中的处理能力，包括异常处理和安全通信。

人机接口安全测试

确保应用对不可预知的用户操作能够做出合理处理，维护良好的用户体验。