安全测试要点

1.安装包测试：反编译、签名、完整性校验、权限检查

2.敏感信息测试：数据库、日志、配置文件

3.软键盘劫持：敏感的输入地方可以做检查

4.账户安全：密码安全、账户锁定、同时会话

5.数据通信安全

6.组件安全

7.接口测试：SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造、越权访问

本小节转载于：APP安全测试点概述_Melody20210917的博客-CSDN博客_app安全测试一. APP安全测试测试点概述1.安装包测试1.1关于反编译目的保护公司知识产权和安全方面的考虑，程序员会在源码中编译一些敏感信息，如密码。一旦泄露安全隐患巨大。为了避免这些问题，测试中，我们可以直接使用反编译工具（dex2.jar和jd-gui工具）查看源代码，判断研发是否对代码做了混淆，包含显而易见的敏感信息。1.2关于签名这点IOS不用考虑，因为APP Store会做校验。但Android没有此类权威检查，我们需要在发布前校验一下签名使用的key是否正确，以防被恶意第三方应https://blog.csdn.net/chenjuan0530/article/details/107445438

mobsf安装、启动

centos7，采用docker安装

• 下载mobsf镜像

docker pull opensecurity/mobile-security-framework-mobsf

• 启动容器实例

docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest

• 访问http://host:8000

 host为服务部署的主机IP

静态测试报告