16个行业的top10应用的8515个漏洞中,平均每个应用有53个漏洞,比上一季度增加77%,增长量非常迅速。因此移动应用的开发方需及时知晓自身应用风险漏洞问题,有助于开展积极有效的防护工作,进行风险规避。移动APP的深度安全检测流程有哪些呢? 下面就来介绍一下:
工具/原料
1
检测工具、安卓APP测试样本、进入网站咨询(备用)
2
操作人员、分析员
方法/步骤
1
前期测试准备工作打开测试设备,为测试做好设备连接,应用安装等准备;依据常规基准项、行业标准和监管要求等内容制定出四大项测试内容。测试内容包括:应用安全、业务操作安全、数据通讯安全、服务端安全。
2
应用安全检测应用安全检测是帮助开发人员验证测试APP本身应用包的安全风险和逆向检测。应用安全检测主要检测的内容包括:逆向工程检测、重打包检测、密组件安全等。
3
业务操作安全测试业务操作安全测试可以帮助APP测试人员测试APP运行执行业务操作流程的安全可靠性,及快速发现APP的中密码体系设计是否完整。业务操作安全测试检测主要检测的内容包括:信息失效检测、验证码来源检测、越权访问测试、弱口令检测、找回密码检测、密码保护机制检测等。
4
数据通信安全检测该检测帮助APP测试人员测试APP数据的生产、传输、存储、使用各个环节及APP数据在网络传输过程中的薄弱点。数据安全检测主要检测的内容包括:数据有效性检测、敏感信息窃取检测、信息显示检测、存储敏感信息检测、传输协议检测、身份认证检测、会话信息检测等。
5
服务端安全检测是测试服务端的稳定性和安全性。帮助APP测试人员快速及时发现服务端隐藏的安全风险,提高服务器的抗攻击能力和安全性。服务端安全检测包括但不仅限于(SQL注入漏洞、XSS漏洞、目录遍历漏洞、信息泄漏等漏洞)。
注意事项
1
操作权责分离:分析员、操作员及管理员分配不同的操作权限
2
注意合规对标:需全面对标常规基准、行业标准、监管要求等
3
如有更多疑问,请进入网站咨询。。