IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> APP渗透测试检查-checklist -> 正文阅读

[网络协议]APP渗透测试检查-checklist

为完整学习App渗透知识,特地手抄一份app渗透checklist,在后续的学习过程中,会根据学习内容不断完善这篇文章!

大项功能 | 组件测试项
业务安全用户登录检测用户登录过程中是否需要输入用户名和密码
检测是否有密码尝试次数限制,限制策略是否安全
检测是否存在密码或账户登录错误提示混淆的问题
是否存在记住用户名或密码
是否有错误信息提示
是否提示用户名错误
是否提示用户名或密码错误
是否提示密码错误
是否有验证码确认用户信息
是否有支付功能
支付密码和账户是否使用同一键盘进行输入
支付过程是否可以截图
是否含有敏感信息的输入
对于铭感信息是否完整的显示出来
程序进入后台是否会有提示
密码管理检测密码输入是否使用安全键盘
检测密码是否有强度要求
检测密码是否本地存储
检测密码是否加固传输
测试登录免密、支付密码等不同类型密码是否采取不同的安全级别管理
检测是否能够使用弱密码
检测使用弱安全密码时程序是否使用安全策略保证密码安全
检测密码找回策略是否存在安全隐患
支付安全检测是否有支付密码保护
检测支付行为发生时是否有检测环境清场检测
检测是否有支付密码试错次数限制
身份认证检测在安全级别要求较高的应用场景是否有除密码之外的安全认证机制,安全认证机制是否起到保护效果
超时设置检测是否有会话超时机制,超时后重鉴别
异常处理检测在软件操作异常时是否有异常处理机制,错误提示信息是否泄露敏感信息
组件安全Activity安全检测Activity是否会被权限劫持
检测Activity是否会被劫持
检测Activity跳转时传输的数据是否安全
检测Activity结束运行后是否遗漏敏感数据
检测Activity是否有被启动者身份(防止被第三方程序恶意启动)
Broadcast Receiver安全检测Broadcast Receiver是否会被权限攻击
检测Broadcast Receiver是否会被监听、劫持
检测Broadcast Receiver是否有被启动者身份认证(防止被第三方程序恶意启动)
Service安全检测Service是否会被权限劫持
检测Service是否会被劫持
检测Service跳转时传输的数据是否安全
检测Service结束运行后是否遗漏敏感数据
检测Service是否有被启动者身份认证(防止被第三方程序恶意启动)
Content Provider安全检测Content Provider是否会被权限攻击
检测Content Provider是否存在泄露隐私数据风险
检测Content Provider执行源码是否暴露
Intent安全检测Intent是否会被权限攻击
检测Intent是否泄露隐私数据
WebView安全WebView安全检测HTML5和WebView组件是否存在代码注入漏洞
检测WebView.load的第三方H5还是自身提供的H5
检测WebView是否使用系统已经被暴露风险的函数(已知漏洞)
发布规范测试数据移除检测发布应用中是否包含不应包含的测试代码
检测发布应用中测试数据是否暴露隐私数据信息
日志信息移除检测发布应用中是否包含不应该包含的日志信息
检测发布版本测试日志信息是否正常输出
安全合规检测应用是否符合国家相关安全标准
安全增强权限管理是否存在权限溢出问题
是否存在串谋攻击隐患
输入检测是否存在客户端注入问题
是否存在输入数据被拦截或泄露等问题
键盘记录是否存在键盘记录隐患
键盘是否能够被注入钩子
界面劫持用户在进行敏感信息输入时是否存在界面劫持和截屏问题
模拟器检测检测应用是否可以运行在模拟器环境中
检测应用运行在危险的模拟器环境中程序是否能够进行运行
进程保护检测应用是否具备抵抗进程注入的能力
动态调试检测程序是否具备抵抗动态调试的能力(Java层和Native层)
第三方SDK安全检测App中使用的第三方SDK是否存在安全隐患
检测App中使用的第三方SDK是否存在潜在后面
检测App中使用的第三方SDK性能、兼容、功能是否存在潜在隐患
AndroidManifest配置检测AndroidManifestt.xml中是否有不安全的配置,如allowBackup、debuggable等
程序完整性程序签名检测程序是否进行签名校验,签名校验是否会被绕过
检测程序签名是否使用独立的签名文件而非使用系统签名文件
完整性校验检测程序是否进行签名校验,签名校验是否会被绕过
检测程序是否进行签名校验,签名校验是否会被绕过
程序机密性代码混淆检测程序是否进行代码混淆
Dex保护检测程序可执行文件Dex是否做加固处理
SO保护检测程序的本地库文件是否做加固处理
资源文件保护检测程序的资源文件是否做加固处理
内存保护检测程序运行时内存空间是否有安全保护
重要函数逻辑安全检测程序运行时重要函数是否有安全保护
硬编码检测程序是否存在硬编码问题
WebView如果程序使用混合(Hybrid)编程,检测JS功能函数是否进行代码混淆和加固
数据输入敏感数据显示检测敏感数据(如用户密码)输入时软件界面是否为非明文显示
输入监听检测用户进行输入操作时,输入的数据是否会被其他终端或其他城西非授权获取
数据存储存储数据类别检测是否本地保存手机号、密码等敏感信息,程序应尽可能少的存储用户的敏感数据
数据访问控制检测数据是否仅被授权用户或应用进程访问
敏感数据加固检测是否对口令、密码、银行卡号等已本地保存的敏感信息进行加固处理,加固强度是否到达要求
内存数据安全检测程序在运行过程中,内存中是否保存敏感数据,敏感数据是否进行加固处理,加固强度是否达到要求
数据传输远程数据通讯协议检测程序与服务器通信过程中,敏感数据是否选择SSL/TLS或IPSec等安全通信协议
证书验证检测程序与服务器的通信是否有证书,是否有证书合法性和一致性校验
远程数据通信加固检测程序与服务器通信的敏感数据是否进行加固处理,加固强度是否达到要求
数据传输完整性检测程序与服务器通信的敏感数据是否进行完整性校验,防止数据传输中断或被篡改
本地数据通讯安全检测程序与本地其他应用进程间的数据传输是否采取加固处理和权限控制
会话安全检测程序session的安全性
重放攻击检测应用软件与服务器通信报文被第三方嗅探后是否可以进行重放攻击
数据输出调试信息检测应用运行时是否有调试信息输出,调试信息是否包含敏感数据
检测应用运行时输出的异常数据是否泄露隐私
敏感信息显示检测应用对敏感细腻些进行显示(账号、密码、身份证号等)时是否对部分字段进行屏蔽
检测应用在进行界面切换后,前一界面的敏感信息是否被清空
  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-06-08 19:15:14  更:2022-06-08 19:15:58 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年5日历 -2024/5/19 15:17:22-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码